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当今 的 世界 ,是 计算 机 网 络 的 时 代 ,也 是 信息 的 时 代 , 计 算 机 网 络 已 成 为 人 
们 获取 信息 和 交流 信息 的 一 种 重要 手段 , 它 正 深刻 影响 着 人 类 社会 的 发 展 及 经 
济 运 行 模式 ,影响 着 人 们 的 工作 ,学 习 和 生活 方式 。 为 此 ,社会 的 各 行 各 业 都 投 
和 了 大 量 的 人 力 和 物力 建设 与 实施 基于 计算 机 网 络 的 信息 化 工程 ,因此 ,迫切 
需要 大 量 掌握 计算 机 网 络 系统 规划 、 设 计 、 建 设 ,. 运 行 . 管 理 和 维护 的 实用 型 网 
络 技术 的 高 级 人 才 , 网 络 工 程 专业 正 是 为 顺应 这 种 社会 需求 而 诞生 的 新 兴 
专业 。 

网 络 工程 专业 是 面向 网 络 工程 应 用 的 计算 机 科学 与 技术 类 专业 , 旨 在 培养 
具有 计算 机 网 络 基 础 知识 和 抽象 思维 能 力 ,掌握 计算 机 网 络 软 硬件 基本 理论 和 
技术 ,掌握 网 络 工程 的 基本 原理 与 实现 方法 ,能 运用 所 学 的 知识 与 技能 去 分 析 
和 解决 网 络 工程 的 实际 问题 。 由 于 网 络 工程 专业 毕业 生 更 容易 成 为 从 事 计 算 
机 网 络 的 建设 与 应 用 、 计 算 机 网 络 的 管理 与 维护 、 网 络 工程 的 开发 与 集成 等 方 
面 的 高 层次 网 络 人 才 , 深 受 社 会 各 界 的 广泛 关注 和 青睐 , 近 几 年 来 该 专业 的 毕 
业 生 就 业 率 都 居 高 不 下 。 

自 2001 年 经 教育 部 批准 ,同意 11 所 高 校 开 办 本 科 网 络 工 程 专业 以 来 ,每 
年 都 有 数 十 所 高 等 院 校 申 请 开设 网 络 工程 专业 。 截 止 2010 年 6 月 ,开设 网 络 
工程 专业 的 高 校 已 达 260 所 。 这 表明 ,网 络 工程 专业 在 我 国 高 等 教育 中 越 来 越 
受到 重视 。 

在 这 种 形势 下 ,作为 普通 高 校 ,如 何 适应 时 代 的 需求 ,培养 掌握 计算 机 网 络 
及 其 相关 技术 的 高 素质 网 络 工程 人 才 , 以 满足 不 同行 业 不 同 岗位 对 网 络 工 程 人 
才 的 需求 ,成 为 一 项 既 紧 迫 又 重要 的 战略 任务 。 为 达到 此 目标 ,高 校 除 了 需要 
有 具有 良好 的 教学 环境 、 先 进 的 教学 设施 和 优秀 的 师资 队伍 之 外 ,更 重要 的 是 需 
要 一 套 符合 现代 网 络 工程 专业 需求 的 高 校 教材 。 

多 年 来 ,全 国 各 出 版 社 出 版 了 大 量 的 计算 机 技术 类 及 信息 技术 类 的 高 校 教 
材 , 这 些 教材 为 我 国 高 等 教育 事业 作出 了 巨大 的 贡献 。 但 是 ,这 些 教材 很 多 都 
是 理论 性 太 强 ,弱化 了 实用 性 ,特别 是 很 少 涉及 网 络 工程 设计 与 建设 .网 络 工程 
实践 与 管理 等 方面 的 内 容 。 因 此 ,上 述 传统 的 教材 大 多 数 已 不 再 适应 当代 网 络 
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工程 专业 的 教学 需求 。 为 了 培养 出 符合 现代 社会 需求 的 实用 型 网 络 工 程 的 技 
RAF ,必须 对 传统 的 教学 模式 和 教材 进行 改革 。 在 清华 大 学 出 版 社 的 易 立 支 
持 下 ,本 套 丛书 的 编 委 会 及 作者 根据 网 络 工程 专业 的 特点 和 需求 ,在 广泛 征求 
意见 和 充分 酝酿 的 基础 上 ,组 织 编写 了 这 套 满 足 普 通 高 校本 科 网 络 工程 专业 需 
求 的 教材 。 

本 套 丛 书 最 显著 的 特色 是 :理论 与 实践 相 结合 .强调 网 络 工程 专业 的 特点 、 
突出 实用 性 和 可 操作 性 、 注 重 实践 技能 的 训练 ,提高 学 生 的 创新 能 力 , 以 达到 培 
养 实用 型 的 网 络 工 程 技 术 人 才 的 目的 。 

丛书 的 主要 编写 模式 是 :教材 紧 紧 围绕 网 络 工程 应 用 进行 构思 和 编写 ,在 
介绍 相关 理论 知识 的 基础 上 ,给 出 大 量 的 应 用 实例 ,并 有 完整 的 实用 案例 分 析 。 
在 教材 中 ,将 实用 案例 作为 一 个 工程 项 目 来 看 待 , 强 调 从 工程 项 目的 角度 出 发 ， 
在 进行 需求 分 析 的 基础 上 ,给 出 案例 的 详细 设计 与 实施 步骤 , 旨 在 帮助 学 生 在 
学 完 每 一 门 课程 后 ,将 所 学 的 知识 运用 到 应 用 程序 的 设计 与 开发 ,应 用 到 网 络 
工程 的 规划 与 设计 、 建 设 与 管理 之 中 。 

本 书 主编 及 参 编者 都 是 长 期 从 事 计 算 机 科学 及 网 络 技术 的 教学 工作 、 网 络 
工程 建设 与 管理 工作 的 高 校 教师 ,具有 较 深 的 理论 知识 .丰富 的 教学 经 验 和 网 
络 管理 经 验 。 本 套 从 书 是 这 些 教师 多 年 教学 、 网 络 开发 与 应 用 、 网 络 管理 与 维 
护 经 验 和 心得 体会 的 结晶 。 

为 了 保证 本 套 教材 的 编写 质量 ,我 们 组 织 了 由 高 校 专 家 、 学 者 组 成 的 教材 
编审 委员 会 , 编 委 会 负责 对 教材 的 结构 及 书稿 内 容 进 行 全 程 的 指导 和 监督 ,并 
负责 对 书稿 内 容 进 行 审查 。 

很 高 兴 能 看 到 本 套 丛 书 的 出 版 ,希望 本 套 丛书 能 为 我 国 高 等 教育 贡献 微薄 
之 力 ,更 希望 本 套 丛书 能 给 广大 师 生 和 读者 带 来 收益 和 帮助 。 

贵州 省 政协 副 主 席 . 博 士 生 导师 
Box &oRRORGE 主任 C79 
2011 4-5 H 18H 
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计算 机 网 络 的 出 现 及 发 展 , 给 人 们 的 工作 和 生活 都 带 来 了 极 大 的 方便 。 随 
着 人 们 对 计算 机 网 络 的 依赖 程度 的 增加 , 越 来 越 多 的 信息 和 重要 数据 资源 出 现 
在 网 络 中 ,一 旦 网 络 由 于 种 种 原因 发 生 故 障 , 陷 于 瘫痪 ,人 们 的 生活 必然 受到 极 
大 的 影响 。 另 外 ,计算 机 犯罪 的 日 益 增 多 也 对 网 络 的 安全 运行 和 发 展 提出 了 挑 
战 ,如 何 保障 计算 机 安全 及 网 络 安全 已 成 为 目前 一 个 吸 待 解决 的 问题 。 因 此 ， 
网 络 安全 技术 成 为 当前 网 络 技术 的 重要 研究 课题 和 发 展 方向 。 

本 书 紧密 结合 计算 机 网 络 安全 技术 的 最 新 发 展 ,系统 地 介绍 了 计算 机 网 络 
安全 的 基础 理论 ,技术 原理 和 相关 案例 ,使 读者 对 计算 机 网 络 安全 有 一 个 系统 、 
全 面 的 了 解 。 本 书 共 13 章 ,第 1 章 主要 介绍 网 络 安全 的 特征 、 网 络 面临 的 安全 
威胁 、 网 络 安全 体系 结构 .网络 安全 评价 标准 。 第 2 章 主 要 介绍 数据 加 密 标准 、 
RSA 公 钥 密码 体制 .MD5、 身 份 认证 技术 .数字 取证 技术 。 第 3 章 主要 介绍 
SSL 协议 ,SSH 协议 SET 协议 IPSec 协议 。 第 4 章 主要 介绍 交换 机 原理 及 
VLAN 原理 ,加密 技 术 、 身 份 认证 技术 原理 .VPN 技术 原理 无线 网 络 安全 技 
术 原 理 。 第 5 章 主 要 介绍 网 络 操 作 系 统 安全 、TCP/IP 协议 安全 、 电 子 邮件 安 
全 漏洞 及 防范 、Telnet 安全 漏洞 及 防范 `FTP 安全 漏洞 及 防范 、Web 服务 器 安 
全 漏洞 及 防范 、 拒 绝 服务 攻击 原理 及 防范 、 缓 冲 区 溢出 攻击 及 防范 、DNS 欺骗 
与 防范 技术 、IP 地 址 欺骗 ,次 用 及 防范 技术 。 第 6 章 主要 介绍 网 络 操作 系统 常 
见 漏洞 .Windows 2003/XP 操作 系统 的 漏洞 分 析 与 防范 、UNIX 操作 系统 漏洞 
分 析 与 防范 、Windows 2003 漏洞 扫描 工具 MBSA 的 使 用 、UNIX 常用 漏洞 扫 
描 工 具 Nessus 的 使 用 、 在 Windows 2003 上 搭建 安全 的 FTP 和 Web 服务 器 、 
UNIX 上 搭建 安全 的 FTP 和 Web 服务 器 。 第 7 章 主要 介绍 防火 墙 的 功能 与 
分 类 防火墙 的 主要 技术 、 防 火 墙 体系 结构 、 防 火 墙 配置 .防火 墙 的 选 型 .主流 防 
火 墙 产 品 、 防 火 墙 发 展 动态 与 趋势 .防火 墙 部 署 实例 。 第 8 章 主要 介绍 人 侵 检 
测 概述 .入 侵 检测 技术 .入 侵 检测 系统 的 标准 .入 侵 检测 系统 部 署 . 典 型 人 侵 检 
测 产品 。 第 9 章 主 要 介绍 网 络 嗅 探 监听 的 原理 、 网 络 监 听 的 防范 措施 .典型 嗅 
探 监听 工具 。 第 10 章 主要 介绍 端口 扫描 技术 漏洞 扫描 技术 .典型 的 端口 扫描 
与 漏洞 扫描 产品 。 第 11 章 主 要 介绍 网 络 病毒 基础 ,病毒 检测 与 防范 技术 、 典 型 


病毒 检测 与 防范 产品 ` 网 络 病毒 防范 实例 。 第 12 章 主 要 介绍 黑客 基本 概念 、 黑 
客 攻击 及 防范 技术 ,应 用 实例 。 第 13 章 主 要 介绍 网 络 安全 解决 方案 设计 、 网 络 
安全 解决 方案 实例 。 

本 书 由 曾 湘 黑 担 任 主编 并 负责 统 稿 ,第 10 一 13 章 由 曾 湘 黔 编写 ,第 1 一 3 
章 由 任 新 编写 ;第 4 一 6 章 由 刘 角 编写 ;第 7 一 9 章 由 曾 动 编写 。 杨 云 江 教授 担 
任 丛 书 编审 委员 会 主任 兼 丛书 总 主编 ,负责 全 书目 录 结 构 .书稿 内 容 结构 的 组 
织 ,规划 与 审定 以 及 书稿 的 初审 工作 。 

由 于 作者 水 平 有 限 , 书 中 难免 有 不 足 之 处 , 望 读者 批评 指正 。 
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第 1 章 网 络 安全 概述 


计算 机 网 络 的 出 现 及 发 展 ,给 人 们 的 工作 、 生 活 都 带 来 了 极 大 的 方便 。 随 着 人 们 对 计算 
机 网 络 依赖 程度 的 增加 , 越 来 越 多 的 信息 和 重要 数据 资源 出 现在 网 络 中 ,一 旦 网 络 由 于 种 种 
原因 发 生 故 障 ,陷于 瘫 痰 ,人 们 的 生活 必然 受到 极 大 的 影响 。 另 外 ,计算 机 犯罪 的 日 益 增 多 
也 对 网 络 的 安全 运行 和 发 展 提出 了 挑战 ,如 何 保障 计算 机 安全 及 网 络 安 全 已 成 为 目前 一 个 
最 待 解决 的 问题 。 因 此 ,网 络 安全 技术 成 为 当前 网 络 技 术 的 重要 研究 课题 和 发 展 方向 。 

本 章 主 要 内 容 有 : 

。 网 络 安全 的 特征 ; 

。 网 络 面临 的 安全 威胁 ; 

。 网 络 安全 体系 结构 ; 

。 网 络 安全 评价 标准 。 


1.1 网 络 安全 的 概念 与 特征 


1.1.1 网 络 安全 的 概念 


随 着 计算 机 网 络 的 发 展 ,信息 共享 应 用 的 日 益 广 泛 和 深入 ,各 种 新 兴业 务 的 不 断 涌现 ， 
网 络 安全 方面 的 问题 也 越 来 越 严 重 。 信 息 在 网 络 上 存储 、 共 享 和 传输 ,可 能 会 因 被 非法 窃 
听 、 截 取 、 自 改 和 毁坏 而 导致 无 法 预料 的 问题 和 损失 。 尤 其 是 银行 系统 .商业 系统 .管理 部 门 
或 军事 领域 对 公共 通信 网 络 中 的 存储 与 传输 的 数据 安全 问题 更 为 引 人 关 注 。 据 统计 ,美国 
每 年 因 网 络 安全 问题 造成 的 经 济 损失 高 达 170 亿美 元 。 

国际 标准 化 组 织 (ISO) 对 计算 机 系统 安全 的 定义 是 : 为 数据 处 理 系统 建立 和 采用 的 技 
术 和 管理 的 安全 保护 ,保护 计算 机 硬件 .软件 和 数据 不 因 偶然 和 恶意 的 原因 遭 到 破坏 .更 改 
和 泄露 。 由 此 ,可 以 将 计算 机 网 络 的 安全 理解 为 : 通过 采用 各 种 技术 和 管理 措施 ,使 网 络 系 
统 正 常 运 行 ,从 而 确保 网 络 数据 的 可 用 性 、 完 整 性 和 保密 性 。 所 以 ,建立 网 络 安 全 保护 措施 
的 目的 是 确保 经 过 网 络 传输 和 交换 的 数据 不 会 发 生 增 加 、 修 改 、 丢 失 和 泄露 等 问题 。 

从 内 容 上 看 ,网 络 安全 包括 以 下 4 个 方面 。 

1. 网 络 实体 安全 

计算 机 机 房 的 物理 条 件 、 物 理 环境 及 设施 的 安全 、 计 算 机 硬件 附属 设备 、 网 络 传 输 线路 
的 安装 及 配置 等 。 

2. 软件 安全 

保护 网 络 系统 不 被 非法 侵入 ,系统 软件 与 应 用 软件 不 被 非法 复制 . 自 改 \ 不 受 病毒 的 侵 

3. 数据 安全 

保护 数据 不 被 非法 存 取 ,确保 其 完整 性 .一 致 性 .机 密 性 等 。 


网 络 安全 技术 
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4. 安全 管理 
运行 时 突 发 事件 的 安全 处 理 等 ,包括 采取 计算 机 安全 技术 、 建 立 安全 管理 制度 、 开 展 安 
全 审计 、 进 行 风险 分 析 等 。 


1.1.2 网 络 安全 的 特征 


计算 机 网 络 安全 应 具备 以 下 几 个 方面 的 特征 。 

1. 保密 性 

信息 不 泄露 给 非 授 权 的 用 户 以 及 不 被 其 利用 的 特性 。 在 网 络 系统 的 各 个 层次 上 有 不 同 
的 机 密 性 及 相应 的 防范 措施 。 例 如 ,在 物理 层 要 保证 系统 实体 不 以 电磁 的 方式 (电磁 辐射 、 
电磁 泄漏 ) 向 外 泄露 信息 ;在 传输 层 要 保证 数据 在 传输 ,存储 过 程 中 不 被 非法 获取 、 解 析 , 在 
该 层 的 主要 防范 措施 是 密码 技术 。 

2. 完整 性 

在 存储 或 传输 的 过 程 中 ,信息 保持 不 被 算 改 、 破 坏 和 丢失 的 特性 。 完 整 性 是 一 种 面向 信 
息 的 安全 性 , 它 要 求 保持 信息 的 原样 , 即 信息 的 正确 生成 和 正确 存储 与 传输 。 

3. 可 用 性 

可 被 授权 实体 访问 并 要 求 使 用 的 特性 , 即 当 需要 时 应 能 够 存 取 所 需要 的 信息 。 

4. 可 控 性 

对 信息 的 传播 及 其 内 容 具 有 控制 能 力 。 

5. 可 审查 性 

对 出 现 的 网 络 安全 问题 提供 可 审查 的 依据 和 手段 。 


1.2 网 络 面临 的 安全 威胁 


1.2.1 网 络 安全 现状 


网 络 已 经 成 为 社会 发 展 的 重要 保证 , 它 涉及 国家 的 政府 .军事 文教 等 多 个 领域 。 通 过 
网 络 存储 传输 和 处 理 的 信息 有 许多 是 重要 的 政府 宏观 调控 决策 .商业 经 济 信息 、 银 行 资 金 
转账 .股票 证 券 . 科 研 数据 等 极 具 价值 的 信息 ,其 中 不 乏 敏 感 信息 ,甚至 国家 机 密 。 所 以 难免 
会 吸引 来 自 世 界 各 地 的 各 种 人 为 攻击 ,攻击 手段 包括 信息 的 泄露 .窃取 ,数据 的 算 改 .删除 、 
增加 、 计 算 机 病毒 的 发 作 等 。 同 时 ,网 络 物理 实体 还 要 经 受 诸如 水 灾 、 地 震 、 火 灾 、 电 磁 辐 射 
或 人 为 的 破坏 等 各 方面 的 考验 。 

近年 来 ,网 络 犯罪 案件 也 急剧 上 升 ,网 络 犯 罪 已 经 成 为 一 个 普遍 的 国际 性 问题 。 据 美国 
联邦 调查 局 的 报告 ,网 络 犯 罪 已 成 为 商业 犯罪 中 最 大 的 犯罪 类 型 之 一 。 网 络 犯罪 大 多 具有 
瞬时 性 、 广 域 性 ,专业 性 、 时 空 分 离 性 等 特点 。 通 常 网 络 犯罪 很 难 留 下 犯罪 证 据 ,这 大 大 刺激 
了 网 络 技术 犯罪 案件 的 发 生 。 网 络 犯罪 案件 的 迅速 增加 ,使 各 国 的 计算 机 系统 特别 是 网 络 
系统 面临 着 很 大 的 威胁 ,并 成 为 严重 的 社会 问题 之 一 。 

从 整体 上 看 ,Internet 上 的 网 络 安全 问题 可 以 划分 为 以 下 几 个 层次 。 

1. 操作 系统 层 的 安全 

当前 的 操作 系统 主要 是 UNIX, Linux, Windows 系列 。 因 为 用 户 的 应 用 程序 全 在 操作 
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系统 上 运行 ,而 且 大 部 分 的 安全 工具 和 软件 也 都 在 操作 系统 层 上 运行 ,因此 操作 系统 层 的 安 
全 与 否 直 接 影响 网 络 的 安全 。 操 作 系 统 层 的 安全 问题 主要 集中 在 用 户口 令 的 设置 和 保护 
上 ,同一 局 域 网 或 虚拟 局 域 网 内 的 共享 文件 和 数据 库 的 访问 控制 权限 的 设置 等 方面 。 

2. 用 户 层 的 安全 

用 户 层 的 安全 主要 指 他 人 冒名 项 蔡 进 行 非法 活动 或 用 户 抵赖 自己 做 过 的 行为 。 

3. 应 用 层 的 安全 

应 用 层 的 安全 与 应 用 系统 直接 相关 , 它 既 包括 不 同 用 户 的 访问 权限 的 设置 和 用 户 认 证 ， 
数据 的 加 密 和 完整 性 的 确认 ,也 包括 对 色情 、 暴 力 以 及 其 他 不 良 信息 的 捕获 等 方面 。 

4. 网 络 层 的 安全 

网 络 层 的 安全 是 Internet 网 络 安全 中 最 重要 的 部 分 。 它 涉及 三 个 方面 。 第 一 是 IP H 
议 本 身 的 安全 性 。IP 协议 本 身 未 加 密使 得 人 们 非法 盗窃 信息 和 口令 成 为 可 能 。 第 二 是 网 
管 协议 的 安全 性 。 它 使 用 未 加 密 的 明码 传输 信息 ,这 就 存在 着 人 们 通过 非法 途径 获得 
SNMP 协议 分 组 并 分 析 破 解 有 关 网 络 管理 信息 的 可 能 性 。 第 三 个 方面 ,也 是 最 重要 的 一 个 
方面 ,就 是 网 络 交换 设备 的 安全 性 。 网 络 交换 设备 包括 路 由 器 和 ATM。 由 于 Internet 普遍 
采用 路 由 器 方式 的 普遍 转发 技术 ,从 而 一 旦 某 一 个 路 由 器 发 生 故 障 或 问题 ,将 迅速 波及 路 由 
器 相关 的 整个 Internet 自治 域 。 

5. 数据 链 路 层 的 安全 

数据 链 路 层 的 安全 主要 涉及 传输 过 程 中 的 数据 加 密 以 及 数据 的 修改 ,也 就 是 数据 的 完 
整 性 的 问题 。 数 据 链 路 层 涉 及 的 另 一 个 问题 是 物理 地 址 盗用 的 问题 。 巾 于 局 域 网 的 物理 地 
址 是 可 以 动态 分 配 的 ,因此 ,人 们 可 以 盗用 他 人 的 物理 地 址 发 送 或 接收 分 组 信息 。 这 对 网 络 
计 费 以 及 用 户 身 份 确认 等 带 来 较 多 的 问题 。 


1.2.2 安全 威胁 分 析 


网 络 是 信息 社会 的 基础 设施 ,只 有 安全 的 网 络 环境 ,才能 够 体现 它 的 经 济 和 社会 价值 。 
然而 ,计算 机 网 络 一 直面 临 着 来 自 多 方面 的 安全 威胁 ,这 些 威胁 有 来 自 外 部 系统 的 恶意 攻 
击 、 系 统 本 身 的 安全 缺陷 或 安全 漏洞 威胁 ,有 系统 内 部 各 种 应 用 软件 的 安全 漏洞 威胁 ,人 为 
或 偶然 事故 构成 的 威胁 ,还 有 自然 灾害 构成 的 威胁 等 。 这 些 威胁 ,表现 形式 是 多 种 多 样 的 ， 
主要 有 以 下 几 个 方面 : 

。 身份 窃取 。 即 非法 获取 合法 用 户 的 身份 信息 。 

非 授 权 访 问 。 即 对 网 络 设备 及 信息 资源 进行 非 正常 使 用 或 越权 使 用 。 

冒充 合法 用 户 。 即 利用 各 种 假冒 或 欺骗 的 手段 非法 获得 合法 用 户 的 权限 ,以 达到 占 
用 合法 用 户 资源 的 目的 。 

数据 窃取 。 即 通过 网 络 窃听 他 人 传输 的 信息 内 容 , 非 法 获取 数据 信息 。 
破坏 数据 的 完整 性 。 即 利用 中 断 、 自 改 和 伪造 等 攻击 手段 ,攻击 或 破坏 数据 的 完整 
性 ,干扰 用 户 的 正常 使 用 。 

拒绝 服务 。 即 阻碍 或 禁止 通信 设施 的 正常 使 用 和 管理 ,使 网 络 通信 被 删 或 实时 操作 
被 延 时 等 。 

否认 。 即 参与 通信 的 各 方 事后 否认 其 参与 的 行为 。 

数据 流 分 析 。 即 通过 分 析 通 信 线 路 中 的 信息 流向 流量 、 流 速 、 频 率 和 度 等 ,从 而 获 
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得 有 用 信息 。 
。 旁 路 控制 。 即 攻击 者 发 现 系统 的 缺陷 或 安全 弱点 ,从 而 渗入 系统 ,对 系统 进行 攻击 。 
o 干扰 系统 正常 运行 。 即 改变 系统 的 正常 运行 方法 ,降低 系统 的 运行 效率 或 者 是 减 慢 
系统 的 响应 时 间 等 。 
。 病毒 与 恶意 攻击 。 即 通过 网 络 传播 病毒 ,或 者 对 网 络 进行 恶意 攻击 ,破坏 网 络 资源 ， 
使 其 不 能 正常 工作 ,甚至 导致 瘫痪 。 
。 电磁 泄漏 。 即 从 设备 发 出 的 电磁 辐射 中 泄露 信息 。 
。 人 员 朴 忽 。 即 工作 人 员 没 有 按照 安全 规章 制度 要 求 办 事 ,给 网 络 带 来 威胁 。 
上 述 安全 威胁 的 表现 形式 可 以 归纳 为 两 大 类 , 即 对 实体 的 安全 威胁 和 对 信息 的 安全 
威胁 。 
1. 实体 安全 威胁 
实体 安全 威胁 是 指 对 计算 机 设备 .网 络 设备 .通信 设施 .通信 线路 及 网 络 环境 等 物理 实 
体 构成 的 安全 威胁 。 实 体 安全 威胁 包括 自然 灾害 (如 水 灾 、 火 灾 、 地 震 \ 海 哺 、 雷 电 等 ) ,设备 
故障 (如 断 电 、 咒 件 损坏 、 线 路 中 断 等 ) ,工作 场所 与 环境 的 影响 (如 强 磁 场 、 电 磁 脉 冲 干扰 . 静 
电 、 灰 人 尘 等 ), 人 为 破坏 (如 误 操作 、 恶 意 攻 击 等 ), 以 及 设备 ,软件 或 资料 的 被 资 与 丢失 等 。 
实体 安全 威胁 轻 则 可 能 引起 网 络 系统 工作 的 亲 乱 , 重 则 可 能 造成 网 络 瘫痪 ,从 而 可 能 造 
成 巨大 损失 。 由 于 实体 安全 威胁 中 所 涉及 的 实体 多 、 环 节 多 ,实体 分 布 的 范围 广 ,实体 安全 
威胁 情况 复杂 ,给 分 析 与 实施 安全 措施 和 安全 策略 制定 带 来 了 很 大 困难 。 因 此 ,要 减少 甚至 
避免 实体 安全 威胁 ,提高 网 络 安全 性 ,就 必须 首先 做 好 实体 的 安全 防范 工作 。 
2. 信息 安全 威胁 
信息 安全 威胁 是 指 信息 在 加 工 处 理 \ 传 输 和 存储 过 程 中 所 受到 的 安全 威胁 。 对 于 在 网 
络 信息 传输 过 程 中 所 受到 的 安全 威胁 主要 有 四 种 ,分 别 是 截获 .中 断 、 自 改 和 伪造 。 
1) 截获 
截获 是 以 信息 的 保密 性 作为 攻击 的 主要 目标 , 它 从 网 络 上 穷 听 他 人 传输 的 信息 内 容 , 非 
法 获取 数据 信息 。 截 获 的 方式 有 搭 线 窃听 、 无 线 仿冒 .非法 复制 等 。 
2) 中 断 
中 断 是 以 破坏 信息 的 可 用 性 作为 攻击 的 主要 目标 , 它 采 取 有 意 中 断 他 人 通信 ,或 切断 通 
信 线 路 ,破坏 系统 资源 ,使 信息 的 可 用 性 受到 威胁 或 破坏 。 
3) t 
算 改 是 以 破坏 信息 的 完整 性 作为 攻击 的 主要 目标 , 它 自 改 他 人 在 网 络 上 传送 的 信息 ,使 
信息 的 完整 性 受到 威胁 或 破坏 。 
4) 伪造 
伪造 是 以 破坏 信息 的 完整 性 和 有 效 性 作为 攻击 的 主要 目标 , 它 伪 造 信息 在 网 络 上 进行 
传输 ,从 而 使 信息 的 完整 性 和 有 效 性 受到 威胁 或 破坏 。 


1.3 网 络 安全 体系 结构 


1.3.1 网 络 安全 模型 
网 络 安全 模型 是 动态 网 络 安全 过 程 的 抽象 描述 。 研 究 安全 模型 ,了 解 安全 动态 过 程 的 
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构成 因素 ,是 构建 合理 而 实用 的 安全 策略 体系 的 前 提 之 一 。 为 了 达到 安全 防范 的 目标 ,需要 
建立 合理 的 网 络 安全 模型 ,以 指导 网 络 安全 工作 的 部 署 和 管理 。 大 多 数 的 网 络 安全 模型 如 
图 1-1 所 示 。 通 信 一 方 要 通过 网 络 将 消息 传送 给 另 一 方 ,通信 双方 必须 协调 努力 共同 完成 
消息 交换 。 通 过 定义 网 络 上 从 源 到 宿主 的 路 由 ,然后 在 该 路 由 上 执行 通信 主体 共同 使 用 的 
通信 协议 (如 TCP/IP) 来 建立 逻辑 信息 通道 。 


可 信 的 第 三 方 
(如 秘密 信息 的 仲裁 者 、 分 配 者 ) DE 
发 送 方 接收 方 
信道 
安 安 
" TS 全 安全 交换 " 
1 消 消 1 
息 息 
攻击 者 


图 1-1 网 络 安全 模型 


如 果 需 要 保护 信息 传输 以 防 攻击 者 危害 信息 的 保密 性 真实 性 , 则 需要 考虑 通信 的 安全 
性 。 安 全 传输 技术 包括 以 下 两 个 基本 部 分 。 

(1) 消息 的 安全 传输 ,如 对 消息 的 加 密 和 认证 。 加 密 的 目的 是 将 消息 按照 一 定 的 方式 
重新 编码 以 使 攻击 者 无 法 获得 真正 的 消息 内 容 ; 认 证 的 目的 在 于 验证 发 送 者 的 身份 。 

(2) 发 送 双 方 共享 的 某 些 秘 密 信息 ,如 加 密 密 钥 。 

为 了 获得 信息 的 安全 传输 ,需要 有 可 信 的 第 三 方 负责 向 通信 双方 发 送 秘密 信息 而 对 攻 
击 者 保密 ,或 者 在 通信 双方 有 争议 时 进行 仲裁 。 

上 述 模型 说 明 ,一 个 安全 的 网 络 通信 必须 考虑 以 下 四 个 方面 : 设计 执行 安全 相关 的 加 
密 算 法 ,用 于 加 密 算法 的 秘密 信息 (如 密 钥 ) ,秘密 信息 的 发 布 和 共享 ,使 用 加 密 算法 和 秘密 
信息 以 获得 安全 服务 所 需 的 协议 。 

以 上 适用 的 主要 是 安全 机 制 和 服务 的 模型 ,还 有 一 些 不 符合 该 模型 的 情况 ,例如 ， 
图 1-2 所 示 的 防止 信息 系统 未 授权 访问 模型 。 


访问 信道 | 计算 机 资源 (如 处 理 器 、 
| Emm 内 存 、IO) 数 据 、 进 程 、 
攻击 者 。 守卫 者 | 软件 内 部 安全 机 制 


图 1-2 未 授权 访问 模型 


未 授权 访问 的 安全 机 制 可 以 分 为 两 道 防线 : 第 一 道 称 为 守卫 者 , 它 包 括 基 于 口令 的 登 
录 程 序 和 屏蔽 逻辑 程序 ,分 别 用 于 拒绝 非 授权 用 户 的 访问 、 检 测 和 拒绝 病毒 ;第 二 道 防线 由 
一 些 内 部 控制 部 件 构 成 ,用 于 管理 系统 内 部 的 各 种 操作 和 分 析 所 存储 的 信息 ,以 检查 是 否 有 
未 授权 的 人 侵 者 。 


1.3.2 OSI 安全 体系 结构 


为 了 推动 网 络 应 用 ,实现 各 种 网 络 互联 ,国际 标准 化 组 织 计算 机 专业 委员 会 对 开放 系统 
互 连 (OSD) 环 境 的 安全 性 进行 了 深入 的 研究 ,在 此 基础 上 提出 了 OSI 安全 体系 (ISO7498-2- 
1989) ,定义 了 安全 服务 ,安全 机 制 , 安 全 管理 及 有 关 安 全 方面 的 其 他 问题 。 此 外 , 它 还 定义 
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了 各 种 安全 机 制 以 及 安全 服务 在 OSI 中 的 层 位 置 。 

安全 体系 结构 , 指 的 是 一 个 计划 和 一 套 原则 。 它 描述 了 : 

CD. 为 满足 其 用 户 需求 而 必须 提供 的 一 套 安全 服务 。 

O 要 求 所 有 系统 元 素 都 要 实现 的 服务 。 

© 为 应 付 威胁 环境 而 要 求 系统 元 素 达 到 的 安全 级 别 。 

一 个 安全 体系 结构 是 采用 系统 工程 过 程 的 结果 。 一 个 完整 的 安全 体系 结构 包括 管理 安 
全 ,通信 和 安全、 计算 机 安全 辐射 安全 、 人 员 安 全 和 物理 安全 等 。 它 既 需 要 应 付 恶 意 威 胁 , 也 
需要 应 付 意 外 的 威胁 。 

1982 年 ,OSI 参考 模型 建立 之 初 , 就 开始 进行 OSI 安全 体系 结构 的 研究 。1989 年 12 月 
ISO 颁布 了 计算 机 信息 系统 互 连 标 准 的 第 二 部 分 , 即 ISO7498-2 标准 ,并 首次 确定 了 OSI 
参考 模型 的 安全 体系 结构 。 我 国 将 其 称 为 GB/9387 一 2 标准 ,并 予以 执行 。ISO 安全 体系 
结构 包括 了 3 部 分 内 容 : 安全 服务 .安全 机 制 和 安全 管理 。 

1. 安全 服务 

安全 服务 是 由 参与 通信 的 开放 系统 的 某 一 层 所 提供 的 服务 , 它 确保 了 该 系统 或 数据 传 
输 具 有 足够 的 安全 性 。ISO 安全 体系 结构 确定 了 5 大 类 安全 服务 : 认证 .访问 控制 .数据 保 
密 性 .数据 完整 性 和 不 可 和 否认 ( 抗 抵赖 ) 。 下 面子 以 分 别 介绍 。 

1) 认证 服务 

认证 服务 提供 某 个 实体 的 身份 保证 。 该 服务 有 两 种 类 型 : 对 等 实体 认证 和 数据 源 
认证 。 

(1) 对 等 实体 认证 

对 等 实体 服务 由 N 层 提供 时 ,(N 十 1) 层 实体 可 确信 其 对 等 实体 是 它 所 需要 的 (N 十 1) 
层 实体 。 该 服务 在 建立 连接 或 数据 传输 期 间 的 某 些 时 刻 使 用 ,以 确认 一 个 或 多 个 其 他 实体 
连接 的 一 个 或 多 个 实体 的 身份 。 该 服务 在 使 用 期 内 让 使 用 者 确信 : 某 个 实体 没有 试图 冒充 
别 的 实体 ,而 且 没 有 试图 非法 重 放 以 前 的 某 个 连接 。 它 们 可 以 实施 单 向 或 双向 对 等 实体 的 
认证 , 既 可 以 带 有 效 期 校 验 ,也 可 以 不 带 ,以 提供 不 同 程度 的 保护 。 

(2) 数据 源 认证 

在 通信 的 某 个 环节 中 ,需要 确认 某 个 数据 是 由 某 个 发 送 者 发 送 的 。 当 这 种 安全 服务 由 
N 层 提 供 时 ,可 向 (N 十 1) 层 实体 证 实数 据 源 正 是 它 所 需要 的 对 等 (N 十 1) 层 实体 。 这 种 服 
务 对 数据 单元 的 来 源 能 够 提供 确认 ,但 不 提供 防止 数据 单元 复制 或 自 改 的 保护 。 

2) 访问 控制 服务 

访问 控制 服务 提供 的 保护 ,就 是 对 某 一 些 确 知 身份 限制 ,对 某 些 资源 (这 些 资 源 可 能 是 
通过 OSI 协议 可 访问 的 OSI 资源 或 非 OSI 资源 ) 的 访问 。 这 种 安全 服务 可 用 于 对 某 个 资源 
的 各 类 访问 (如 通信 资源 的 利用 ,信息 资源 的 阅读 ,书写 或 删除 ,处 理 资 源 的 执行 等 ) 或 用 于 
对 某 些 资 源 的 所 有 访问 。 访 问 控制 是 实现 授权 的 一 种 方法 , 它 涉及 通信 和 系统 的 安全 问题 ， 
它 对 通信 协议 有 很 高 的 要 求 。 

3) 数据 保密 性 服务 

数据 保密 性 服务 能 够 提供 保护 ,使 得 信息 不 泄露 .不 暴露 给 那些 未 授权 就 想 掌握 该 信息 
的 实体 。 该 服务 有 以 下 几 种 类 型 。 
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(1) 连接 保密 性 

数据 保密 性 服务 要 保证 数据 在 传输 过 程 中 的 保密 性 。 计 算 机 网 络 的 通信 可 分 为 两 种 形 
式 : 面向 连接 的 通信 和 无 连接 的 通信 。 连 接 保密 性 保证 数据 在 面向 连接 的 一 次 通信 中 的 保 
密 性 。 请 注意 : 在 某 些 使 用 中 ,保护 所 有 数据 的 保密 性 可 能 是 不 适宜 的 ,例如 加 速 数据 或 连 
接 请 求 中 的 数据 。 

(2) 无 连接 保密 性 

无 连接 保密 性 保证 数据 在 无 连接 的 一 次 通信 中 的 保密 性 。 

(3) 选择 字段 保密 性 

如 上 所 述 ,在 某 些 使 用 中 ,保护 所 有 数据 的 保密 性 可 能 是 不 适宜 的 。 这 种 服务 只 为 那些 
被 选择 的 字段 保证 其 保密 性 ,这 些 字段 或 处 于 连接 的 用 户 数据 中 ,或 为 单个 无 连接 的 SDU 
中 的 字段 。 

(4) 业务 流 保密 性 

有 时 候 , 供 给 者 可 以 通过 分 析 数 据 流量 的 一 些 重复 特征 ,作为 破坏 数据 保密 性 的 支持 信 
息 。 业 务 流 保密 性 服务 保证 数据 不 能 通过 其 流量 特征 而 推断 出 其 中 的 保密 信息 。 数 据 保密 
性 服务 直接 保证 安全 性 能 的 保密 性 。 

4) 数据 完整 性 服务 

数据 完整 性 服务 保护 数据 在 存储 和 传输 中 的 完整 性 。 主 要 有 以 下 几 类 。 

CD 带 恢复 的 连接 完整 性 

这 种 安全 服务 可 保证 连接 上 的 所 有 用 户 数 据 的 完整 性 。 它 检测 对 某 个 完整 的 SDU 序 
列 内 任何 一 个 数据 唱 到 的 任何 算 改 、 插 入、 删除 或 重 放 , 同 时 还 可 以 补救 恢复 。 

(2) 不 带 恢复 的 连接 完整 性 

与 带 恢复 的 连接 完整 性 服务 相同 ,但 不 能 补救 恢复 。 

(3) 选择 字段 连接 完整 性 

这 种 安全 服务 为 在 一 次 连接 上 ,对 传送 用 户 数据 中 的 某 些 字段 保证 其 完整 性 ,也 就 是 确 
定 这 些 被 选 字段 是 否 遭 到 了 算 改 、 插 入 、 删 除 或 重演 。 

(4) 无 连接 完整 性 

这 种 安全 服务 由 N 层 提供 ,向 提出 请 求 的 (N 十 1) 层 实体 提供 无 连接 的 数据 完整 性 保 
证 。 并 能 确定 收 到 的 SDU 是 否 经 过 算 改 ;另外 ,还 可 以 对 重 放 情 况 进行 一 定 程度 的 检测 。 

(5) 选择 字段 无 连接 完整 性 

这 种 安全 服务 对 单个 无 连接 SDU 中 的 被 选 字段 保证 其 完整 性 ,并 能 确定 被 选 字段 是 
否 经 过 算 改 、 插 入、 删除 或 重 放 。 

数据 完整 性 服务 直接 保证 数据 的 完整 性 。 所 有 的 数据 完整 性 服务 都 能 够 对 付 新 增 或 修 
改 数据 的 企图 。 但 未 必 都 能 够 对 付 复 制 或 删除 数据 。 复 制 是 由 重 放 攻击 造成 的 。 无 连接 和 
选择 字段 完整 性 服务 主要 是 为 了 检测 对 部 分 数据 的 修改 ,也 许 不 能 检测 到 重 放 攻 击 。 连 接 
完整 性 服务 要 求 能 够 防止 在 某 一 连接 内 重 放 数据 ,但 它 仍然 存在 弱点 ,因为 某 个 人 侵 可 能 重 
放 一 个 完整 的 连接 。 检 测 对 某 些 数据 的 删除 至 少 与 检测 重复 攻击 一 样 难 。 因 此 在 说 明 任意 
一 种 数据 完整 性 服务 时 要 特别 注意 。 

5) 抗 抵赖 服务 

该 服务 主要 保护 通信 系统 不 会 遭 到 系统 中 其 他 合法 用 户 的 威胁 ,而 不 是 来 自 未 知 莉 
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者 的 威胁 。“ 抵 赖 ?最 早 被 定义 成 一 种 威胁 , 它 是 指 参 与 某 次 通信 交换 的 一 方 事 后 不 诚实 地 
否认 曾 发 生 过 本 次 交换 。 抗 抵赖 服务 是 用 来 对 付 这 种 威胁 的 。 

实际 上 ,这 种 服务 并 不 能 消除 服务 的 抵赖 性 .也 就 是 说 , 它 并 不 能 防止 一 方 否认 另 一 方 
对 某 件 已 发 生 的 事情 所 做 出 的 声明 。 它 所 能 够 做 的 只 是 提供 无 可 辩驳 的 证 据 ,以 支持 快速 
解决 任何 这 样 的 纠纷 。 

抗 抵赖 服务 的 出 发 点 不 仅仅 由 于 在 通信 各 方 之 间 存 在 着 相互 欺骗 的 可 能 性 , 男 外 它 也 
反映 了 这 样 一 个 现实 , 即 没 有 任何 一 个 系统 是 完备 的 ,而 且 也 可 能 出 现 通信 双方 最 终 达 不 成 
一 致 协议 这 样 的 情况 。 

CD 数据 源 的 抗 抵赖 

向 数据 接收 者 提供 数据 来 源 的 证 据 , 以 防止 发 送 者 否认 发 送 该 数据 或 其 内 容 的 任何 
企图 。 
(2) 传递 过 程 的 抗 抵赖 
向 数据 发 送 者 提供 数据 已 到 目的 地 的 证 据 , 以 防止 收 信者 否认 接收 该 数据 或 其 内 容 后 
的 任何 事后 的 企图 。 

2. 安全 机 制 

为 了 支持 以 上 的 安全 服务 ,ISO 安全 体系 结构 定义 了 8 大 类 安全 机 制 : 加 密 机 制 ,数字 
签名 机 制 .访问 控 制 机 制 .数据 完整 性 机 制 , 鉴 别 交 换 机 制 . 通 信 业 务 填充 机 制 、. 路 由 控制 机 
制 和 公证 机 制 。 这 些 安全 机 制 可 以 设置 在 适当 的 层次 上 ,以 便 提供 某 些 安全 服务 。 

1) 加 密 机 制 

加 密 是 提供 数据 保护 最 常用 的 方法 。 加 密 算法 按 密 钥 的 类 型 可 分 为 对 称 密 钥 算法 和 非 
对 称 密 钥 ( 也 称 公 开 密 钥 ) 算 法 : 按 密码 体制 可 分 为 序列 密码 算法 和 分 组 密码 算法 。 这 些 算 
法 具有 不 同 的 优 缺 点 ,根据 加 密 的 层次 和 加 密 对 象 可 采用 不 同 的 算法 。 由 于 加 密 机 制 的 存 
在 ,就 有 密 钥 管理 机 制 。 

2) 数字 签名 机 制 

在 通信 双方 交换 数据 时 ,为 防止 和 否认、 伪造 、. 算 改 . 冒 充 等 ,采用 数字 签名 技术 。 数 字 签 
名 机 制 还 规定 了 两 个 过 程 : 一 是 对 数据 单元 签名 ,二 是 验证 已 签名 的 数据 单元 。 签 名 机 制 
的 本 质 特 征 是 只 能 使 用 签名 者 私有 信息 签名 。 因 此 , 当 验 证 签名 时 ,可 在 事后 的 任何 时 候 向 
第 三 方 ( 如 审查 员 或 仲裁 员 ) 证 实 只 有 私有 信息 的 唯一 持 有 者 才能 产生 这 个 签名 。 

3) 访问 控制 机 制 

访问 控制 机 制 是 按照 事先 确定 的 规划 ,决定 主题 对 客体 的 访问 是 否 合法 。 当 主体 试图 
非法 使 用 未 经 授权 使 用 的 资源 (客体 ) 时 ,访问 机 制 的 功能 将 拒绝 这 一 企图 ,并 可 附带 报告 这 
一 事件 给 审计 跟踪 系统 ,审计 跟踪 产生 一 个 报警 或 形成 部 分 追踪 审计 。 访 问 控制 机 制 的 实 
现 常常 基于 一 种 或 多 种 机 制 措施 ,如 访问 控制 信息 库 、 鉴 别 信息 ( 如 口令 )、 权 力 、 安 全 标志 、 
试图 访问 的 时 间 .试图 访问 的 路 由 和 访问 的 持续 时 间 等 。 

4) 数据 完整 性 机 制 

数据 完整 性 包括 两 种 形式 : 数据 单元 完整 性 和 数据 单元 序列 的 完整 性 。 保 证 数据 完整 
性 的 一 般 方 法 是 : 发 送 实体 在 数据 单元 上 加 标记 ,这 个 标记 是 数据 本 身 的 函数 ,是 经 过 加 密 
的 ;接收 实体 产生 对 应 的 标记 .并 将 所 产生 的 标记 与 接收 到 标记 相 比 较 , 以 确定 在 传输 过 程 
中 牙 忽 是 和 否 被 修改 过 。 数 据 单元 序列 的 完整 性 是 要 求 数据 编号 的 连续 性 和 时 间 标 记 的 正确 
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性 (不 是 过 时 的 ) ,以 防止 假冒 .丢失 、 重 发 .插入 或 修改 数据 。 

5) 鉴别 交换 机 制 

鉴别 交换 机 制 是 以 交换 信息 的 方式 来 确认 实体 身份 的 机 制 。 用 于 鉴别 交换 的 技术 有 : 

(D 口令 。 由 发 方 实体 提供 , 收 方 实体 检测 。 

© 密码 技术 。 将 交换 的 数据 加 密 , 只 有 合法 用 户 才能 解密 。 

© 使 用 该 实体 的 特征 或 拥有 物 。 这 时 采用 的 技术 是 指纹 识别 和 身份 卡 等 。 

6) 通信 业务 填充 机 制 

通信 业务 填充 机 制 主要 是 对 抗 非法 者 在 线路 上 监听 数据 并 对 其 进行 流量 和 流向 分 析 。 
采用 的 方法 一 般 是 保密 装置 在 无 信息 传输 时 ,连续 地 发 出 伪 随 机 序列 的 方式 ,使 得 非法 者 不 
知 哪些 是 有 用 信息 ,哪些 是 无 用 信息 。 

7) 路 由 控制 机 制 

在 大 型 网 络 中 ,从 源 节点 到 目的 节点 可 能 有 多 条 线路 可 以 到 达 , 有 些 线路 可 能 是 安全 
的 ,有 些 线路 则 可 能 是 不 安全 的 。 路 由 控制 机 制 可 使 信息 发 送 者 选择 特殊 的 路 由 申请 ,以 保 
证 数据 安全 。 目 前 典型 的 应 用 为 IP 层 防 火 墙 。 

8) 公证 机 制 

在 大 型 网 络 中 ,由 于 有 许多 节点 或 端 节点 ,使 用 网 络 的 所 有 用 户 又 并 不 都 是 诚实 可 信 
的 ,同时 也 可 能 由 于 系统 故障 等 原因 使 信息 丢失 .迟到 等 ,这 很 可 能 会 引起 责任 问题 。 为 了 
解决 这 个 问题 ,就 需要 有 一 个 大 家 都 信任 的 第 三 方 实体 一 一 公证 机 构 ,仲裁 出 现 的 问题 。 引 
入 公证 机 制 , 通 信 双 方 进行 数据 通信 必须 经 过 这 个 机 构 来 交换 ,以 确保 公证 机 构 能 得 到 必要 
的 信息 , 供 以 后 仲裁 。 

此 外 还 有 若干 不 是 为 任何 特定 服务 而 特 设 的 普遍 安全 机 制 。 主 要 有 : 

(1) 可 信 功 能 度 

为 了 扩充 其 他 安全 机 制 的 范围 或 建立 其 有 效 性 ,必须 使 用 可 信 功 能 度 。 这 是 要 保证 直 
接 提 供 安全 机 制 或 访问 安全 机 制 的 任意 功能 度 都 应 是 可 信赖 的 。 

(2) 安全 标记 

它 包含 数据 项 的 资源 可 能 具有 与 这 些 数据 相关 联 的 安全 标记 ,例如 ,指明 安全 敏感 等 级 
(密级 ) 的 标记 。 通 常 , 传 送 数据 时 需要 同时 传送 适当 的 安全 标记 。 安 全 标记 可 以 是 与 被 传 
送 的 数据 相关 的 附加 数据 ,也 可 以 是 隐 含 的 信息 ,如 通过 使 用 一 个 特定 密 钥 加 密 数据 来 隐 
含 ,或 由 数据 上 下 文 (如 数据 源 点 或 路 由 ) 来 隐 含 。 显 式 安 全 标记 必须 能 清晰 地 标识 出 来 ,以 
便 验 证 。 另 外 ,它们 必须 安全 可 靠 地 依附 于 与 之 相关 的 数据 。 

(3) 事件 检测 

与 安全 有 关 的 文件 检测 包括 对 安全 明显 侵害 事件 和 “正常 "事件 (如 成 功 的 访问 或 登录 ) 
的 检测 。 与 安全 有 关 的 事件 可 由 包括 安全 机 制 的 开放 系统 互 连 实体 来 检测 。 

(4) 安全 审计 跟踪 

这 是 一 种 很 有 价值 的 安全 机 制 , 可 通过 事后 的 安全 审计 来 检测 和 调查 安全 遭 到 的 破坏 。 
安全 审计 是 对 系统 记录 和 活动 的 独立 评估 和 考核 ,以 测试 系统 控制 得 是 否 充分 ,确保 与 既定 
策略 和 操作 规程 相 一 臻 .有 助 于 进行 侵害 评估 .并 指出 控制 .策略 和 程序 的 变化 。 

(5) 安全 恢复 

安全 恢复 机 制 可 应 事件 处 理 和 管理 功能 等 机 制 的 请 求 ,在 应 用 一 组 规则 后 采取 恢复 
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动作 。 

(6) 物理 安全 与 人 员 可 靠 

为 了 获得 完善 的 保护 ,必须 有 物理 安全 措施 。 物 理 安 全 的 代价 高 ,往往 要 通过 其 他 ( 廉 
价 ) 技 术 降 低 对 物理 安全 要 求 。 尽 管 所 有 系统 将 最 终 依靠 某 种 形式 的 物理 安全 和 对 操作 系 
统 的 人 员 的 信赖 ,但 对 物理 安全 和 人 员 可 靠 方面 的 考虑 不 属于 开放 系统 互 连 范 围 。 应 确定 
操作 规程 以 保证 操作 正确 、 人 员 职 责 明确 。 

(7) 可 信任 的 硬件 /软件 

为 了 取得 对 一 实体 正常 运转 的 信任 ,可 采用 形式 证 明 法 、 验 证 与 证 实 、 检 测 和 登录 已 知 
的 试图 进行 的 攻击 以 及 由 可 信人 员 在 安全 环境 中 的 构造 实体 等 方法 。 此 外 ,还 需要 采取 预 
防 措施 ,以 防止 实体 在 其 运行 期 内 (如 在 维护 或 升级 过 程 中 ) 被 无 意 地 或 故意 地 修改 ,从 而 危 
害 实体 的 安全 。 为 了 维护 系统 安全 ,系统 中 的 有 些 实体 必须 是 可 信 、 能 够 正常 工作 的 。 

3. 安全 管理 

OSI 安全 体系 结构 的 第 三 个 主要 部 分 就 是 安全 管理 。 安 全 管理 的 主要 内 容 是 实施 一 系 
列 的 安全 政策 ,对 系统 和 网 络 上 的 操作 进行 管理 ,安全 管理 是 网 络 安全 必 不 可 少 的 部 分 。 

OSI 安全 管理 不 但 支持 行政 机 构 强 加 的 强制 安全 管理 策略 ,还 应 该 支持 对 安全 有 更 高 
要 求 的 个 别 系统 需要 的 自主 安全 策略 。 一 个 OSI 安全 管理 机 构 所 管理 的 多 个 实体 构成 一 
个 OSI 安全 环境 ,有 时 还 叫做 安全 域 。 一 个 OSI 安全 环境 维护 一 个 安全 管理 信息 库 
(SMIB)。SMIB 存储 开放 系统 所 需 的 与 安全 有 关 的 全 部 信息 ,包括 各 个 端 系统 能 够 执行 某 
个 适当 的 安全 策略 所 需要 的 信息 。SMIB 在 OSI 安全 环境 中 扮演 一 种 协调 的 安全 策略 。 除 
此 以 外 ,不 同 OSI 安全 环境 之 间 可 以 互相 交换 安全 信息 ,例如 SMIB 信息 交换 。 

OSI 安全 管理 包含 三 部 分 : 系统 安全 管理 .安全 服务 管理 和 安全 机 制 管 理 。 下 面 分 别 
介绍 这 三 部 分 的 主要 内 容 。 

1) 系统 安全 管理 

系统 安全 管理 涉及 整体 OSI 安全 环境 的 管理 。 其 中 包括 : 

CD 总 体 安全 策略 的 一 致 性 管理 ,例如 一 致 性 的 修改 与 维护 。 

(2) OSI 安全 环境 之 间 的 安全 信息 交换 。 

(3) 和 安全 服务 管理 和 安全 机 制 管理 有 交互 作用 。 

(4) 安全 事件 的 管理 ,包括 事件 报告 .存储 和 查询 等 。 

(5) 安全 审计 管理 , 即 事故 发 生 的 时 候 的 检测 和 和 追踪。 

(6) 安全 恢复 管理 , 即 事故 发 生 后 的 系统 恢复 。 

2) 安全 服务 管理 

安全 服务 管理 涉及 特定 安全 服务 的 管理 。 其 中 包括 : 

(1) 对 某 种 安全 服务 定义 安全 目标 。 

(2) 指定 安全 服务 可 使 用 的 安全 机 制 。 

(3) 对 可 使 用 的 安全 机 制 进行 协商 。 

(4) 通过 适当 的 安全 机 制 管理 .调用 需要 的 安全 机 制 。 

(5) 和 系统 安全 措施 以 及 安全 机 制 管理 相互 作用 。 

3) 安全 机 制 管 理 

安全 机 制 管 理 涉 及 的 是 特定 安全 机 制 的 管理 。 其 中 包括 : 
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CD 密 钥 管理 。 包 括 密 钥 的 产生 、 密 钥 的 存储 和 分 配 等 。 

(2) 加 密 管理 。 包 括 加 密 算法 的 选择 、 加 密 的 参数 以 及 与 密 钥 管 理 相互 作用 。 

(3) 数字 签名 管理 。 由 于 数字 签名 使 用 加 密 技 术 , 它 和 加 密 管 理 类 似 。 

(4) 访问 控制 管理 。 包 括 访问 控制 表 的 建立 和 维护 等 。 

(5) 数据 完整 性 管理 。 当 数据 完整 性 保护 使 用 加 密 技术 ,数据 完整 性 管理 与 加 密 管理 
类 似 。 

(6) 鉴别 管理 。 包 括 鉴别 信息 的 产生 和 分 配 等 ,鉴别 信息 交换 等 。 

(7) 业务 流 填充 管理 。 包 括 预定 的 数据 率 、 指 定 随 机 数据 率 等 。 

(8) 路 由 控制 管理 。 包 括 确定 信任 的 链 路 或 子 网 络 。 

(9) 公证 管理 。 包 括 分 配 有 关公 证 的 信息 ,公证 方 和 实体 的 通信 协议 等 。 

除 此 以 外 ,OSI 安全 管理 还 涉及 OSI 管理 系统 本 身 的 安全 ,包括 OSI 管理 协议 的 安全 
和 OSI 管理 信息 交换 的 安全 等 。 


1.3.3 P2DR 模型 


P2DR 模型 是 美国 ISS 公司 提出 的 动态 网 络 安全 体系 的 代表 模型 ,也 是 动态 安全 模型 
WEJ, PZDR 模型 包括 四 个 主要 部 分 ， Policy (策略 )、 防护 
Protection( 防 护 )、Detection (检测 ) 和 Response (响应 ), 如 
图 1-3 所 示 。 

PZDR 安全 模型 可 以 描述 为 : 

安全 三 风险 分 析 十 执行 策略 十 系统 实施 
十 漏洞 监测 十 实时 响应 

P2DR 安全 模型 认为 没有 一 种 技术 可 完全 消除 网 络 中 的 
安全 漏洞 ,必须 在 整体 安全 策略 的 控制 指导 下 ,在 综合 运用 防护 工具 的 同时 ,利用 监测 工具 
了 解 和 评估 系统 的 安全 状态 ,通过 适当 的 反馈 将 系统 调整 到 相对 最 安全 和 风险 最 低 的 状态 ， 
才能 达到 所 需 的 安全 要 求 。 也 就 是 说 ,系统 的 安全 实际 上 是 理想 中 的 安全 策略 和 实际 的 执 
行 之 间 的 一 个 平衡 ,强调 在 防护 ,监控 检测 .响应 等 环节 的 循环 过 程 ,通过 这 种 循环 达到 保持 
安全 水 平 的 目的 。 所 以 ,P2DR 安全 模型 是 整体 的 、 动 态 的 安全 模型 ,应 该 依据 不 同等 级 的 
系统 安全 要 求 来 完善 系统 的 安全 功能 、 安 全 机 制 。 

(1) 策略 : 安全 策略 具有 一 般 性 和 普通 性 ,一 个 恰当 的 安全 策略 总 会 把 关注 的 核心 集 
中 到 最 高 决策 层 认为 必须 值得 注意 的 那些 方面 。 概 括 地 说 ,一 种 安全 策略 实质 上 表明 ; 当 设 
计 所 涉及 的 那个 系统 在 进行 操作 时 ,必须 明确 在 安全 领域 的 范围 内 ,什么 操作 是 明确 允许 
的 ,什么 操作 是 一 般 默认 允许 的 ,什么 操作 是 明确 不 允许 的 ,什么 操作 是 默认 不 允许 的 。 安 
全 策略 一 般 不 作出 具体 的 规定 ,也 不 确切 说 明 通 过 何 种 方式 才能 达到 预期 的 结果 ,但 是 应 该 
向 系统 安全 实施 者 们 指出 在 当前 的 前 提 下 ,什么 因素 和 风险 才 是 最 重要 的 。 就 这 个 意义 而 
言 ,建立 安全 策略 是 实现 安全 的 最 首要 的 工作 ,也 是 实现 安全 技术 管理 与 规范 的 第 一 步 。 目 
前 :如 何 能 使 安全 策略 与 用 户 的 具体 应 用 紧密 结合 是 计算 机 网 络 安全 系统 面临 的 最 关键 问 
题 。 所 以 ,安全 策略 的 制订 实际 上 是 一 个 按照 安全 需求 、 依 照应 用 实例 不 断 精 确 细 化 的 求解 
过 程 。 安 全 策略 是 模型 的 核心 ,所 有 的 防护 、 检 测 和 响应 都 是 依据 安全 策略 实施 的 (安全 策 
略为 安全 管理 提供 管理 方向 和 支持 手段 。 策 略 体系 的 建立 包括 安全 策略 的 制订 评估、 执行 


图 1-3 P2DR 安全 模型 
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等 。 只 有 对 计算 机 网 络 系统 进行 了 充分 的 了 解 , 才 能 制订 出 可 行 的 安全 策略 。) 网 络 安全 策 
略 一 般 包 括 总 体 安全 策略 和 具体 安全 策略 两 个 部 分 组 成 。 

(2) 防护 : 防护 是 为 保护 计算 机 网 络 系统 的 保密 性 、 完 整 性 `. 可 用 性 和 不 可 否认 性 而 采 
取 的 预防 措施 ,这 些 措 施 通过 传统 的 静态 安全 技术 实现 。 采 用 的 防护 技术 通常 包括 数据 加 
密 、 身 份 认证 ,访问 控制 .授权 和 虚拟 专用 网 (VPN) 技 术 、 防 火 墙 \ 安 全 扫描 和 数据 备份 等 。 

(3) 检测 : 当 攻 击 者 穿 透 防护 系统 时 ,检测 功能 就 发 挥 作用 ,与 防护 系统 形成 互补 。 检 
测 是 动态 响应 的 依据 。 检 测 和 防护 有 根本 性 的 区 别 , 防 护 主 要 修补 系统 和 网 络 的 缺陷 ,增加 
系统 的 安全 性 能 ,从 而 消除 攻击 和 入 侵 的 条 件 。 检 测 并 不 是 根据 网 络 和 系统 的 缺陷 ,而 是 根 
据 入 侵 事件 的 特征 去 监测 。 但 是 ,黑客 攻击 系统 时 往往 是 利用 网 络 和 系统 的 缺陷 ,所 以 人 侵 
事件 的 特征 一 般 与 系统 缺陷 的 特征 无 关 。 在 安全 模型 中 ,防护 和 检测 之 间 有 互补 关系 ,如 果 
防护 部 分 做 得 很 好 , 绝 大 多 数 攻击 事件 都 被 阻止 ,那么 检测 部 分 的 任务 就 很 少 。 反 过 来 ,如 
果 防 护 部 分 做 得 不 好 ,检测 部 分 的 任务 就 很 多 。 

CA) 响应 : 系统 一 旦 检测 到 入 侵 , 响 应 系统 就 开始 工作 ,进行 事件 处 理 。 响 应 就 是 在 检 
测 到 安全 漏洞 或 一 个 攻击 (和 人 侵 ) 事 件 之 后 ,及 时 采取 有 效 的 处 理 措施 ,避免 危害 进一步 扩 
大 ,目的 是 把 系统 调整 到 安全 状态 ,或 使 系统 能 提供 正常 的 服务 。 通 过 建立 响应 机 制 和 紧急 
响应 方案 ,能 够 提高 快速 响应 的 能 力 。 

在 一 个 大 规模 的 网 络 中 ,响应 这 个 工作 都 是 由 一 个 特殊 部 门 负责 的 , 那 就 是 计算 机 紧急 
响应 小 组 。 我 国 第 一 个 计算 机 紧急 响应 小 组 CCERT 于 1999 年 建立 ,主要 服务 于 中 国教 育 
和 科研 网 。 响 应 包括 紧急 响应 和 恢复 处 理 , 恢 复 处 理 又 包括 系统 恢复 和 信息 恢复 。 

PZDR 模型 是 在 整体 的 安全 策略 的 控制 和 指导 下 ,在 综合 运用 防护 工具 (如 防火 墙 、 操 
作 系 统 身份 认证 .加密 等 ) 的 同时 ,利用 检测 工具 (如 漏洞 评估 .入 侵 检测 等 ) 了 解 和 评估 系统 
的 安全 状态 ,通过 适当 的 反应 将 系统 调整 到 “最 安全 "和 “风险 最 低 ” 的 状态 。 防 护 、 检 测 和 响 
应 组 成 了 一 个 完整 的 ,动态 的 安全 循环 ,在 安全 策略 的 指导 下 保证 信息 系统 的 安全 。 

该 理论 的 最 基本 原理 是 : 信息 安全 相关 的 所 有 活动 ,不 管 是 攻击 行为 .防护 行为 .检测 
行为 和 响应 行为 等 都 要 消耗 时 间 ,因此 可 以 用 时 间 来 衡量 一 个 体系 的 安全 性 和 安全 能 力 。 

作为 一 个 防护 体系 , 当 入 侵 者 要 发 起 攻击 时 ,每 一 步 都 需要 花费 时 间 。 当 然 攻击 成 功 花 
费 的 时 间 就 是 安全 体系 提供 的 防护 时 间 P,; 在 入 侵 发 生 的 同时 .检测 系统 也 在 发 挥 作用 , 检 
测 到 入 侵 行为 也 要 花费 时 间 一 一 检测 时 间 D,; 在 检测 到 入 侵 后 ,系统 会 做 出 应 有 的 响应 动 
作 , 这 也 要 花费 时 间 一 一 响应 时 间 R,。 

P2DR 模型 就 可 以 用 一 些 典型 的 数学 公式 来 表达 安全 的 要 求 : 

P,>D,+R, (1.1) 

P, 代表 系统 为 了 保护 安全 目标 设置 各 种 保护 后 的 防护 时 间 ; 或 者 理解 为 在 这 样 的 保护 
方式 下 ,黑客 (入 侵 者 ) 攻 击 安全 目标 所 花费 的 时 间 。D, 代表 从 入 侵 者 开始 发 动人 侵 开 始 ， 
系统 能 够 检测 到 入 侵 行为 所 花费 的 时 间 。R, 代表 从 发 现 和 人 侵 行 为 开始 ,系统 能 够 做 出 足够 
的 响应 ,将 系统 调整 到 正常 状态 的 时 间 。 那 么 ,针对 于 需要 保护 的 安全 目标 ,如 果 上 述 数 学 
公式 满足 防护 时 间 大 于 检测 时 间 加 上 响应 时 间 , 也 就 是 在 入 侵 者 危害 安全 目标 之 前 就 能 被 
检测 到 并 及 时 处 理 。 


二 二 (1.2) 
式 (1.2) 的 前 提 是 假设 防护 时 间 为 0。D, 代表 从 入 侵 者 破坏 了 安全 目标 系统 开始 ,系统 
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能 够 检测 到 破坏 行为 所 花费 的 时 间 。R, 代表 从 发 现 遭 到 破坏 开始 ,系统 能 够 做 出 足够 的 响 
应 ,将 系统 调整 到 正常 状态 的 时 间 。 例 如 ,对 Web Server 被 破坏 的 页 面 进行 恢复 。 那么， 
D, 与 R, 的 和 就 是 该 安全 目标 系统 的 暴露 时 间 EE,。 对 于 需要 保护 的 安全 目标 ,EE, 越 小 , 系 
统 就 越 安 全 。 

通过 上 面 两 个 公式 的 描述 ,实际 上 给 出 了 安全 一 个 全 新 的 定义 :“ 及 时 的 检测 和 响应 就 
是 安全 ,及 时 的 检测 和 恢复 就 是 安全 ”。 

而 且 , 这 样 的 定义 为 安全 问题 的 解决 给 出 了 明确 的 方向 : 提高 系统 的 防护 时 间 P,, 降 
低 检测 时 间 D, 和 响应 时 间 R,。 

P2DR 模型 也 存在 一 个 明显 的 弱点 ,就 是 忽略 了 内 在 的 变化 因素 ,如 人 员 的 流动 人 员 
的 素质 和 策略 贯彻 的 不 稳定 性 。 实 际 上 ,安全 问题 牵涉 面 广 ,除了 涉及 防护 .检测 和 响应 , 系 
统 本 身 安全 的 “免疫 力 ” 的 增强 .系统 和 整个 网 络 的 优化 ,以 及 人 员 这 个 在 系统 中 最 重要 角色 
的 素质 的 提升 ,都 是 安全 系统 要 考虑 的 问题 


1.4 网 络 安全 管理 


1.4.1 网 络 安全 管理 的 法 律 法 规 


我 国 计 算 机 安全 法 律 法 规 建设 始 于 20 世纪 80 年 代 ,1994 年 2 月 18 日 ,国务 院 颁 布 了 
我 国 第 一 部 计算 机 安全 法 规 ( 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》,1996 年 2 月 
国务 院 又 颁布 了 《中 华人 民 共 和 国 计 算 机 信息 网 络 国 际 联网 管理 暂行 规定 》(1997 年 5 月 修 
正 为 《中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 办 法 )), 原 邮电 部 于 1996 年 4 月 
发 布 了 《中 国 公用 计算 机 互联 网 (CHWMET) 国 际 联网 管理 办 法 》,1997 年 12 月 公安 部 报 经 
国务 院 批准 ,颁布 了 《计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》,1997 年 修订 后 的 《中 华 
人 民 共 和 国 刑法 》, 增 加 了 惩处 计算 机 犯罪 的 条 款 。 此 外 ,相关 的 法 规 还 有 《计算 机 软件 保护 
条 例 》《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 等 。 为 了 与 (刑法) 衔接 ,含有 查处 
计算 机 违法 行为 条 款 的 《中华 人民 共和 国治 安 管理 处 罚 法 于 2006 年 3 月 1 日 起 实施 。 

虽然 经 过 多 年 的 建设 ,我 国 的 计算 机 安全 法 律 法 规 仍 需 不 断 完善 ,例如 电子 凭证 的 法 律 
地 位 、 数 字 媒 体 的 知识 产权 等 相关 政策 、 法 规 的 建立 。 下 面 对 上 述 法 律 法 规 进行 简单 介绍 。 

1.《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 

该 条 例 是 我 国 计 算 机 信息 系统 安全 保护 的 基本 保障 ,主要 有 如 下 6 种 制度 

CD 安全 等 级 保护 制度 。 划 分 信息 系统 安全 等 级 的 原则 是 按 该 系统 持续 工作 的 重要 性 
和 所 处 理 信息 的 重要 性 来 划分 。 

(2) 国际 联网 备案 制度 。 进 行 计算 机 国际 联网 的 单位 和 个 人 要 向 公安 机 关 备 案 。 

(3) 信息 媒体 进出 境 申 报 制度 。 

(4) 案件 强制 报告 制度 。 对 计算 机 信息 系统 中 发 生 的 案件 ,有 关 单 位 应 当 向 当地 县 级 
以 上 人 民政 府 公 文 机 关 报 告 。 

CO 计算 机 病毒 防治 专 管制 度 。 即 计算 机 病毒 和 危害 社会 公共 安全 的 其 他 有 害 数据 的 
防治 研究 工作 ,由 公安 部 归口 管理 。 

(6) 对 计算 机 信息 系统 安全 专用 产品 的 销售 实行 许可 证 制度 。 
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《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 明 确 了 公安 部 是 全 国 计 算 机 信息 系统 
安全 保护 工作 的 主管 部 门 ,公安 机 关 负 责 监督 管理 计算 机 信息 系统 安全 保护 工作 。 此 外 该 
条 例 给 出 了 计算 机 信息 系统 的 定义 ,计算 机 信息 系统 ,是 指 由 计算 机 及 其 相关 的 和 配套 的 设 
备 、 设 施 ( 含 网 络 ) 构 成 的 ,按照 一 定 的 应 用 目标 和 规则 对 信息 进行 采集 、 加 工 、 存 储 、 传 输 、 检 
索 等 处 理 的 人 机 系统 。 并 对 计算 机 病毒 定义 为 : 计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 
插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ,影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 
者 程序 代码 。 

2.《 中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 办 法 》 

该 办 法 主要 规定 ,国内 计算 机 信息 网 络 必须 使 用 邮电 部 国家 公用 电信 网 提供 的 信道 进 
行 国际 联网 ,任何 单位 和 个 人 不 得 自行 建立 或 者 使 用 其 他 信道 进行 国际 联网 ; 接 入 网 络 必须 
通过 互联 网 络 进行 国际 联网 ,而 个 人 、 法 人 和 其 他 组 织 需 要 进行 国际 联网 的 ,必须 通过 接 入 
网 络 进 行 国际 联网 。 同 时 , 它 还 规定 了 从 事 国际 联网 经 营 活动 的 单位 实行 许可 证 制度 。 

3.《 中 国 公用 计算 机 互联 网 (CHINANET) 国 际 联网 管理 办 法 》 

该 办 法 规定 , 接 人 单位 和 用 户 应 遵守 国家 法 律 法 规 , 加 强 信息 安全 教育 ,严格 执行 国家 
保密 制度 ,并 对 所 提供 的 信息 内 容 负责 :任何 组 织 或 个 人 不 得 利用 计算 机 国际 联网 从 事 危害 
国家 安全 泄露 国家 秘密 等 犯罪 活动 ;不 得 利用 国际 互联 网 查阅 复制 .制造 和 传播 危害 国家 
安全 ,妨碍 社会 治安 和 淫秽 色情 的 信息 ;要求 接 入 CHINANET 的 接 人 单位 必须 按 规定 办 理 
手续 并 按 规定 建立 接 入 网 络 , 用 户 进 行 国际 联网 必须 通过 接 入 网 络 进行 。 违 反 上 述 规定 的 
将 提请 公安 机 关 依 法 予以 处 罚 。 

4.《 计 算 机 信息 网 络 国 际 联网 安全 保护 管理 办 法 》 

该 办 法 是 一 部 专门 用 于 规范 计算 机 信息 网 络 国际 联网 安全 保护 管理 工作 的 行政 法 规 ， 
是 从 事 计算 机 信息 网 络 国际 联网 业务 的 单位 和 个 人 的 行为 准则 。 

该 办 法 规范 了 对 国际 联网 业务 (如 ,提供 国际 出 入 口 信道 , 接 入 服务 、 信 息 服 务 、 使 用 网 
络 提 供 的 各 类 功能 等 ) 的 安全 要 求 。 

国际 联网 经 营 部 门 要 负责 本 网 络 的 安全 保护 管理 工作 ,对 本 网 络 用 户 进行 安全 教育 和 
培训 ,对 委托 发 布 信息 的 单位 和 个 人 进行 登记 ,并 对 所 提供 的 信息 内 容 进 行 审核 ,删除 网 络 
中 含有 有 害 信息 内 容 的 地 址 .目录 ,并 向 当地 公安 机 关 报 告 等 。 

该 办 法 规定 任何 单位 和 个 人 不 得 利用 国际 联网 危害 国家 安全 泄露 国家 秘密 ,不 得 侵犯 
国家 的 、 社 会 的 ,集体 的 利益 和 公民 的 合法 权益 ,不 得 从 事 违 法 犯罪 活动 。 任 何 单位 和 个 人 
不 得 利用 国际 联网 制作 、 复 制 、 查 阅 并 传播 下 列 信息 : 煽动 抗拒 .破坏 宪法 和 法 律 . 行 政法 规 
实施 的 ;煽动 颠覆 国家 政权 ,推翻 社会 主义 制度 的 ;煽动 分 裂 国家 、 破 坏 国家 统一 的 ;煽动 民 
族 仇恨 .民族 歧视 ,破坏 民族 团结 的 ;捏造 或 者 牌 曲 事实 ,散布 谣言 ,扰乱 社会 秩序 的 ;宣扬 封 
建 迷信 淫秽、 色情 赌博、 暴力、 凶杀 、` 铠 怖 ,教唆 犯罪 的 ;公然 侮辱 他 人 或 者 捏造 事实 诽谤 他 
人 的 ;损害 国家 机 关 信 誉 的 。 

该 办 法 规定 任何 单位 和 个 人 不 得 从 事 下 列 危 害 计算 机 网 络 安全 的 活动 : 未 经 允许 , 进 
入 网 络 或 者 使 用 网 络 资源 ;对 网 络 功 能 进行 删除 、 修 改 或 者 增加 ;对 网 络 中 的 信息 和 程序 进 
行 删除 \、 修 改 或 者 增加 ;故意 制作 传播 计算 机 病毒 等 破坏 性 程序 ,等 等 。 

该 办 法 要 求 公 安 机 关 计 算 机 管理 监察 机 构 应 当 保护 计算 机 信息 网 络 国际 联网 的 公共 
全 ,维护 从 事 国 际 联网 业务 的 单位 和 个 人 的 合法 权益 和 公众 利益 。 对 违反 该 办 法 的 ， "n 
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安 机 关 给 予 警告 或 者 停机 整顿 处 罚 ,对 单位 及 单位 主管 人 员 和 其 他 直接 责任 人 员 可 以 并 处 
罚款 ,必要 时 可 以 建议 原 发 证 审批 机 构 吊 销 经 营 许可 证 或 者 取消 联网 资格 。 

5.《 中 华人 民 共 和 国 刑法 》 

它 明确 了 计算 机 犯罪 在 法 律 意义 上 的 范畴 和 处 罚 的 措施 ,为 有 效 地 打击 计算 机 犯罪 行 
为 提供 了 法 律 依据 。 下 列 行为 是 犯罪 行为 : 

CD 违反 国家 规定 ,侵入 国家 事务 .国防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 的 
行为 。 
(2) 违反 国家 规定 ,对 计算 机 信息 系统 功能 进行 删除 .修改 、 增 加 干扰 ,造成 计算 机 信 
息 系统 不 能 正常 运行 ,后 果 严 重 的 ;违反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 
的 数据 和 应 用 程序 进行 删除 、 修 改 、 增 加 的 操作 ,后 果 严 重 的 ;故意 制作 ,传播 计算 机 病毒 等 
破坏 性 程序 ,影响 计算 机 信息 系统 正常 运行 ,后 果 严 重 的 行为 。 

《刑法 》 还 规定 ,利用 计算 机 实施 金融 诈骗 .盗窃 、 贪 污 、 挪 用 公款 、 穷 取 国 家 秘密 或 者 其 
他 犯罪 的 ,依照 该 法 其 他 有 关 规 定 定罪 。 


1.4.2 ”网络 安全 评价 标准 


评价 标准 中 比较 流行 的 是 1985 美国 国防 部 指定 的 可 信任 计算 机 标准 评价 准则 ,各 国 根 
据 自 己 的 国情 也 都 制订 了 相关 的 标准 。 

1. 我 国 评价 标准 

1999 年 10 月 经 过 国家 质量 技术 监督 局 批准 发 布 的 4 计算 机 信息 系统 安全 保护 等 级 划 
分 准则 ;将 计算 机 安全 保护 划分 为 以 下 5 个 级 别 。 

(1) 第 1 级 为 用 户 自主 保护 级 (GB1 安全 级 ): 它 的 安全 保护 机 制 使 用 户 具 备 自 主 安全 
保护 的 能 力 ,保护 用 户 的 信息 免 受 非法 的 读 写 破坏 。 

(2) 第 2 级 为 系统 审计 保护 级 (GB2 安全 级 ): 除 具备 第 一 级 所 有 的 安全 保护 功能 外 ， 
要 求 创 建 和 维护 访问 的 审计 跟踪 记录 ,使 所 有 的 用 户 对 自己 的 行为 的 合法 性 负责 。 

(3) 第 3 级 为 安全 标记 保护 级 (GB3 安全 级 ) : 除 继承 前 一 个 级 别 的 安全 功能 外 ,还 要 
求 以 访问 对 象 标记 的 安全 级 别 限制 访问 者 的 访问 权限 ,实现 对 访问 对 象 的 强制 保护 。 

(4) 第 4 级 为 结构 化 保护 级 (GB4 安全 级 ): 在 继承 前 面 安全 级 别 安全 功能 的 基础 上 ， 
将 安全 保护 机 制 划分 为 关键 部 分 和 非 关 键 部 分 ,对 关键 部 分 直接 控制 访问 者 对 访问 对 象 的 
存 取 , 从 而 加 强 系 统 的 抗 渗透 能 力 。 

(5) 第 5 级 为 访问 验证 保护 级 (GB5 安全 级 ): 此 级 别 特别 增设 了 访问 验证 功能 ,负责 
仲裁 访问 者 对 访问 对 象 的 所 有 访问 活动 。 

我 国 是 国际 标准 化 组 织 的 成 员 国 ,信息 安全 标准 化 工作 在 各 方面 的 努力 下 正在 积极 开 
展 之 中 。 从 20 世纪 80 年 代 中 期 开始 ,自主 制定 和 采用 了 一 批 相应 的 信息 安全 标准 。 但 是 ， 
应 该 承认 ,标准 的 制定 需要 较为 广泛 的 应 用 经 验 和 较为 深入 的 研究 背景 。 这 两 方面 的 差距 ， 
使 我 国 的 信息 安全 标准 化 工作 与 国际 已 有 的 工作 相 比 ,覆盖 的 范围 还 不 够 大 ,宏观 和 微观 的 
指导 作用 也 有 待 进一步 提高 。 

2. 国际 评价 标准 

根据 美国 国防 部 开发 的 计算 机 安全 标准 可 信任 计算 机 标准 评价 准则 (Trusted 
Computer Standards Evaluation Criteria. TCSEC) . Bl] £& 2z 4c R$ Hz -p . — de YE $5 BL c 4 2 
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别 被 用 来 评价 一 个 计算 机 系统 的 安全 性 。 

自从 1985 年 橙 皮 书 成 为 美国 国防 部 的 标准 以 来 ,就 一 直 没 有 改变 过 ,多 年 以 来 一 直 是 
评估 多 用 户主 机 和 小 型 操作 系统 的 主要 方法 。 其 他 子 系统 (如 数据 库 和 网 络 ) 也 一 直 用 橙 皮 
书 来 解释 评估 。 橙 皮 书 把 计算 机 安全 分 为 A`.B`C.D 4 个 等 次 7 个 级 别 ,最 低级 为 D 级 ,最 
高 级 为 A 级 ,如 表 1-1 所 示 。 


表 1-1 安全 级 别 
等 次 级 别 名 称 主要 特征 
D D 低级 保护 没有 安全 保护 
. CI 自主 安全 保护 自主 存储 控制 
C2 受 控 存 储 控制 单独 的 可 查 性 ,安全 标识 
Bl 标识 的 安全 保护 强制 存 取 控制 ,安全 标识 
B B2 结构 化 保护 面向 安全 的 体系 结构 , 较 好 的 抗 渗 透 能 力 
B3 安全 区 域 存 取 监控 、 高 抗 渗透 能 力 
A A 验证 设计 形式 化 的 最 高 级 描述 和 验证 


D 级 是 最 低 的 安全 级 别 , 拥 有 这 个 级 别 的 操作 系统 就 像 一 个 门户 大 开 的 房子 ,任何 人 都 
可 以 自由 进出 ,是 完全 不 可 信任 的 。 对 于 硬件 来 说 ,没有 任何 保护 措施 ,操作 系统 容易 受到 
损害 ,没有 系统 访问 限制 和 数据 访问 限制 ,任何 人 不 需 任 何 账 户 都 可 以 进入 系统 ,不 受 任 何 
限制 可 以 访问 他 人 的 数据 文件 。 属 于 这 个 级 别 的 操作 系统 有 DOS 和 Windows 98 等 。 

Cl 级 (自主 安全 保护 级 ) 。 具 有 该 安全 级 别 的 系统 对 硬件 具有 某 种 程度 的 保护 ,如 用 户 
拥有 注册 账号 和 口令 ,系统 通过 账号 和 口令 来 识别 用 户 是 否 合法 ,并 决定 用 户 对 程序 和 信息 
拥有 什么 样 的 访问 权 , 但 硬件 受到 损害 的 可 能 性 仍然 存在 。 

用 户 拥 有 的 访问 权 是 指 对 文件 和 目标 的 访问 权 。 文 件 的 拥有 者 和 超级 用 户 可 以 改变 文 
件 的 访问 属性 ,从 而 对 不 同 的 用 户 授予 不 同 的 访问 权限 。 

C2 级 (可 控制 的 安全 保护 级 ) 除 了 包含 Cl 级 的 特征 外 ,应 该 具有 访问 控制 环境 
(Controlled Access Environment) 权 力 。 该 环境 具有 进一步 限制 用 户 执行 某 些 命令 或 者 访 
问 某 些 文件 的 权限 ,而 且 还 加 入 了 身份 认证 等 级 。 另 外 ,系统 对 发 生 的 事情 加 以 审计 ,并 写 
入 日 志 中 ,如 什么 时 候 开 机 ,哪个 用 户 在 什么 时 候 从 什么 地 方 登录 ,等 等 ,这 样 通过 查看 日 
志 , 就 可 以 发 现 和 人 侵 的 痕迹 ,如 多 次 登录 失败 ,也 可 以 大 致 推测 出 可 能 有 人 想 人 侵 系 统 。 审 
计 除 了 可 以 记录 下 系统 管理 员 执 行 的 活动 以 外 ,还 加 入 了 身份 认证 级 别 ,这 样 就 可 以 知道 谁 
在 执行 这 些 命令 。 审 计 的 缺点 在 于 它 需 要 额外 的 处 理 时 间 和 磁盘 空间 。 

使 用 附加 身份 验证 就 可 以 让 一 个 C2 级 系统 用 户 在 不 是 超级 用 户 的 情况 下 有 权 执 行 系 
统管 理 任 务 。 授 权 分 级 使 系统 管理 员 能 够 给 用 户 分 组 ,授予 他 们 访问 某 些 程序 的 权限 或 访 
问 特定 的 目录 。 能 够 达到 C2 级 别 的 常见 操作 系统 有 如 下 几 种 : 

* UNIX 系统 ; 

* Novell 3. X 或 者 更 高 版 本 ; 

* Windows NT. Windows 2000 和 Windows 2003. 

B 级 中 有 三 个 级 别 ,B1l1 级 即 标志 安全 保护 (Labeled Security Protection) ,是 支持 多 级 
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例如 : 秘密 和 绝密 ) 的 第 一 个 级 别 , 这 个 级 别 说 明 处 于 强制 性 访问 控制 之 下 的 对 象 , 系 


统 不 允许 文件 的 拥有 者 改变 其 许可 权限 。 

安全 级 别 存在 秘密 和 绝密 级 别 , 这 种 安全 级 别 的 计算 机 系统 一 般 在 政府 机 构 中 ,比如 国 
防 部 和 国家 安全 局 的 计算 机 系统 。 

B2 级 ,又 叫 结构 保护 (Structured Protection) 级 别 , 它 要 求 计算 机 系统 中 所 有 的 对 象 都 
要 加 上 标签 ,而 且 给 设备 (磁盘 、 磁 带 和 终端 ) 分 配 单 个 或 者 多 个 安全 级 别 。 

B3 级 ,又 叫做 安全 域 (Security Domain) 级 别 , 使 用 安装 硬件 的 方式 来 加 强 域 的 安全 , 例 


如 ,内 


存 管 理 硬件 用 于 保护 安全 域 免 遭 无 授权 访问 或 更 改 其 他 安全 域 的 对 象 。 该 级 别 也 要 


求 用 户 通过 一 条 可 信任 途径 连接 到 系统 上 。 

A 级 ,又 称 验证 设计 (Verified Design) 级 别 , 是 当前 检 皮 书 的 最 高 级 别 , 它 包含 了 一 个 
严格 的 设计 ,控制 和 验证 过 程 。 该 级 别 包含 较 低级 别 的 所 有 的 安全 特性 。 

安全 级 别 设计 必须 从 数学 角度 上 进行 验证 ,而 且 必 须 进行 秘密 通道 和 可 信任 分 布 分 析 。 
可 信任 分 布 (Trusted Distribution) 的 含义 是 : 硬件 和 软件 在 物理 传输 过 程 中 已 经 受到 保 


护 ,以 
机 和 了 


防止 破坏 安全 系统 。 橙 皮 书 也 存在 不 足 ,TCSEC 是 针对 孤立 计算 机 系统 ,特别 是 小 型 
机 系统 。 假 设 有 一 定 的 物理 保障 ,该 标准 适合 政府 和 军队 ,不 适合 企业 ,这 个 模型 是 


静态 的 。 


思考 题 


Oo c» & Q to — 


. 什么 是 网 络 安全 ? 网 络 安全 包括 哪些 方面 ? 
. 简 述 网 络 安全 的 特征 。 

. 谈 谈 你 对 网 络 安全 体系 结构 的 理解 。 

. 简 述 网 络 安全 现状 。 

. 目前 ,计算 机 网 络 系统 所 面临 的 威胁 有 哪些 ? 
. 简 述 计算 机 网 络 安全 的 法 律 法 规 。 
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随 着 互联 网 的 普及 和 应 用 ,信息 技术 的 应 用 已 经 扩展 到 了 社会 经 济 、 政 治 , 军 事 . 个 人 生 
活 等 各 个 领域 。 因 此 ,信息 安全 的 重要 性 可 以 上 升 到 国家 安全 的 高 度 。 可 以 说 ,当今 的 社 
会 ,已 离 不 开 计 算 机 网 络 ,更 离 不 开 信 息 。 因 此 ,掌握 好 计算 机 网 络 安全 技术 是 非常 重要 的 。 

本 章 主要 内 容 有 : 

。 数据 加 密 标准 ; 

。 RSA 公 钥 密码 体制 ; 

* MD5; 

。 身份 认证 技术 ; 

。 数字 取证 技术 。 


2.1 密码 学 基础 


2.1.1 基本 概念 


密码 学 是 保密 学 的 一 个 分 支 , 保 密 学 是 研究 密码 系统 和 通信 安全 的 科学 , 它 包 括 两 个 分 
支 : 密码 编码 学 (Cryptography) 和 密码 分 析 学 (Cryptanalysis) 。 密 码 编码 学 主要 研究 对 信 
息 进 行 变换 ,以 保护 信息 在 信道 的 传递 过 程 中 不 被 敌手 窃取 、 解 读 和 利用 的 方法 ,而 密码 分 
析 学 则 与 密码 编码 学 相反 , 它 主要 研究 如 何 分 析 和 破译 密码 。 这 两 者 之 间 既 相互 对 立 又 相 
互 促 进 。 

密码 的 基本 思想 是 对 机 密 信息 进行 伪装 。 一 个 密码 系统 完成 如 下 伪装 : 某 用 户 ( 加 密 
者 ) 对 需要 进行 伪装 的 机 密 信 息 ( 明 文 ) 进 行 变换 (加 密 变换 ) ,得 到 另外 一 种 看 起 来 似乎 与 原 
有 信息 不 相关 的 表示 ( 密 文 ) ,如 果 合 法 的 用 户 ( 接 收 者 ) 获 得 了 伪装 后 的 信息 ,那么 他 可 以 从 
这 些 信息 中 还 原 得 到 原来 的 机 密 信息 (解密 变换 ) .而 如 果 不 合法 的 用 户 试 图 从 这 种 伪装 后 
信息 中 分 析 得 到 原 有 的 机 密 信 息 ( 密 码 分 析 者 ) ,那么 ,要 么 这 种 分 析 过 程 根本 是 不 可 能 的 ， 
要 么 代价 过 于 巨大 ,以 至 于 无 法 进行 。 

准确 地 说 ,一 个 密码 系统 由 明文 空间 、 密 文 空间 、 密 码 方案 和 密 钥 空间 组 成 。 

CD 加 密 的 信息 称 为 明文 。 明 文 的 全 体 称 为 明文 空间 。 一 般 情况 下 ,明文 用 MGE m. 
即 消 息 , Message) 或 P( 或 p, 即 明文 ,Plain text) 表 示 。 明 文 是 信 源 编码 符号 ,可 能 是 文本 文 
件 \ 位 图 、 数 字 化 存储 的 语音 流 或 数字 化 的 视频 图 像 的 比特 流 。 我 们 可 以 简单 地 认为 明文 是 
有 意义 的 字符 流 或 比特 流 。 

(2) 密 文 是 经 过 伪装 后 的 明文 ,全 体 可 能 出 现 的 密 文 的 集合 称 为 密 文 空间 。 一 般 情况 
下 , 密 文 用 C( 或 c, 即 Cipher text, 密 文 ) 表 示 , 它 也 可 以 被 认为 是 字符 流 或 比特 串 。 

(3) 密码 方案 确切 地 描述 了 加 密 变换 与 解密 变换 的 具体 规则 。 这 种 描述 一 般 包括 对 明 
文 进行 加 密 时 所 使 用 的 一 组 规则 ( 称 为 加 密 算法 ,其 对 明文 实施 的 变换 过 程 称 为 加 密 变 换 ， 
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简称 为 加 密 ) 的 描述 ,以 及 对 密 文 进行 还 原 时 所 使 用 的 一 组 规则 ( 称 为 解密 算法 ,其 对 密 文 实 
施 的 变换 过 程 称 为 解密 变换 ,简称 为 解密 ) 的 描述 。 

CA). 加 密 和 解密 算法 的 操作 通常 在 称 为 密 钥 的 元 素 ( 分 别称 为 加 密 密 钥 与 解密 密 钥 ) 控 
制 下 进行 。 密 钥 的 全 体 称 为 密 钥 空间 。 一 般 情况 下 , 密 钥 用 K (或 k, 即 Key, 密 钥 ) 表 示 。 
密码 设计 中 ,各 密 钥 符号 一 般 是 独立 ,等 概率 出 现 的 ,也 就 是 说 , 密 钥 一 般 是 随机 序列 。 

密码 通信 通常 会 受到 未 授权 者 或 非法 入 侵 者 的 攻击 。 未 授权 者 通过 各 种 可 能 的 手段 获 
取 密 文 , 并 通过 各 种 分 析 手 段 推断 出 明文 的 过 程 , 称 之 为 破译 。 这 类 攻击 属于 被 动 攻击 。 非 
法 入 侵 者 通过 各 种 手段 进入 密码 通信 系统 ,并 通过 可 能 的 方法 删改 、 伪 造 信息 ,以 达到 破坏 
密码 的 通信 系统 ,这 种 攻击 属于 主动 攻击 。 

破译 或 攻击 密码 的 方法 有 穷 举 法 和 分 析 法 两 种 。 穷 举 法 是 指 用 各 种 可 能 的 密 钥 去 试 译 
密 文 ,直到 得 到 有 意义 的 明文 的 方法 。 分 析 方 法 是 指 通 过 数学 关系 式 或 统计 规律 找 出 明文 
或 与 明文 相关 的 有 用 信息 的 破译 方法 。 如 果 一 个 密码 在 规定 的 时 间 内 ,通过 密 文 能 确定 明 
文 或 密 钥 ,通过 一 定量 的 明文 与 密 文 的 对 于 关系 能 确定 密 钥 , 则 称 这 个 密码 是 可 破 的 ;否则 ， 
称 密码 是 不 可 破 的 。 


2.1.2. ”对称 密码 与 非 对 称 密码 体制 


根据 加 密 算法 与 解密 算法 所 使 用 的 密 钥 是 否 相 同 ,或 是 否 能 简单 地 由 加 ( 解 ) 密 密 钥 求 
得 解 ( 加 ) 密 密 钥 , 可 以 将 密码 体制 分 成 对 称 密码 体制 (也 叫 单 钥 密 码 体 制 、 秘 密 密 钥 密 码 体 
制 、 对 称 密 钥 密码 体制 ) 和 非 对称 密 码 体 制 ( 也 叫做 双 钥 密码 体制 .公开 密 钥 密 码 体制 、 非 对 
称 密 钥 密 码 体制 ) 。 

如 果 一 个 保密 系统 的 加 密 密 钥 和 解密 密 钥 相同 ,或 者 虽然 不 相同 .但 由 其 中 的 任意 一 个 
可 以 很 容易 地 得 知 另外 一 个 ,所 采用 的 就 是 对 称 密 钥 密码 体制 。 使 用 对 称 密 钥 密码 体制 时 ， 
如 果 有 能 力 加 密 ( 或 解密 ?就 意味 着 必然 也 有 能 力 解密 (或 加 密 )。 

如 果 一 个 保密 系统 把 加 密 和 解密 的 分 开 ,加 密 和 解密 分 别 用 两 个 不 同 的 密 钥 实现 ,并 且 
由 加 密 密 钥 推导 出 解密 密 钥 是 计算 上 不 可 行 的 , 则 该 系统 所 采用 的 就 是 非 对 称 密 钥 密码 体 
制 (公开 密 钥 密 码 体制 )。 采 用 非 对 称 密 钥 密码 体制 的 每 个 用 户 都 有 一 对 选 定 的 密 钥 。 其 中 
一 个 是 可 以 公开 的 ,一 个 由 用 户 自 己 秘密 保存 。 

对 称 密 钥 密码 体制 基于 复杂 的 非 线性 交换 实现 , 非 对称 密 钥 密 码 体制 一 般 基 于 某 个 数 
学 上 的 问题 实现 。 由 于 后 者 的 安全 程度 与 否 与 现实 的 计算 能 力 具 有 密切 的 关系 ,因此 ,我 们 
常常 认为 后 者 的 保密 强度 似乎 比 前 者 更 弱 , 但 后 者 也 具有 前 者 所 不 具备 的 一 些 特性 , 它 适应 
于 开放 性 的 使 用 环境 , 密 钥 管理 问题 相对 简单 .可 以 方便 .安全 地 实现 数字 签名 和 验证 。 


2.1.3 密码 分 析 的 攻击 类 型 


如 前 所 述 , 密 码 学 包括 密码 编码 学 和 密码 分 析 学 。 而 密码 分 析 学 是 在 不 知道 密 钥 的 情 
况 下 恢复 明文 的 学 问 。 成 功 的 密码 分 析 能 分 析出 消息 的 明文 或 密 钥 。 荷 兰 人 
A. Kerckhoffs 最 早 在 19 世纪 阐明 了 密码 分 析 的 一 个 基本 假定 , 即 假定 密码 分 析 者 已 掌握 
密码 算法 及 其 实现 的 全 部 详细 资料 ,密码 系统 的 安全 性 完全 寓于 密 钥 之 中 。 也 就 是 说 ,密码 
分 析 者 除了 不 知道 所 使 用 的 密 钥 外 ,了 解 整个 密码 系统 。 在 实际 的 密码 分 析 中 并 不 总 是 有 
这 些 详细 信息 的 ,不 过 应 该 如 此 假设 。 


网 络 安全 技术 


常用 的 密码 分 析 攻 击 有 5 类 ,当然 ,每 一 类 都 假设 密码 分 析 者 知道 所 使 用 的 加 密 算 法 的 
全 部 知识 。 

1. 唯 密 文 攻击 

密码 分 析 者 有 一 些 消息 的 密 文 ,这 些 消息 都 用 同一 加 密 算法 加 密 。 密 码 分 析 者 的 任务 
是 恢复 尽 可 能 多 的 明文 ,或 者 最 好 是 能 推算 出 用 以 加 密 消息 的 密 钥 ,以 便 可 采用 相同 的 密 钥 
解 出 其 他 被 加 密 的 消息 。 

2. 已 知 明 文 攻 击 

密码 分 析 者 不 仅 可 得 到 一 些 消息 的 密 文 ,而 且 也 知道 这 些 消息 的 明文 。 分 析 者 的 任务 
就 是 用 加 密 信息 推出 用 来 加 密 的 密 钥 或 导出 一 个 算法 。 此 算法 可 以 对 用 同一 密 钥 加 密 的 任 
何 新 的 消息 解密 。 

3. 选择 明文 攻击 

分 析 者 不 仅 可 得 到 一 些 信息 的 密 文 和 相应 的 明文 ,而 且 他 们 也 可 选择 被 加 密 的 明文 。 
这 比 已 知 明文 攻击 更 有 效 。 因 为 密码 分 析 者 能 选择 待定 的 明文 块 去 加 密 。 这 些 块 可 能 产生 
更 多 关于 密 钥 的 信息 。 分 析 者 的 任务 就 是 推出 一 个 用 来 加 密 消息 的 密 钥 或 导出 一 个 算法 。 
此 算法 可 以 对 用 同一 密 钥 加 密 的 任何 新 的 消息 进行 解密 。 

4. 自 适 应 选择 明文 攻击 

自 适应 选择 明文 攻击 是 选择 明文 攻击 的 特殊 情况 。 密 码 分 析 者 不 仅 能 选择 被 加 密 的 明 
文 ,而且 还 能 基于 以 前 加 密 的 结果 修正 这 个 选择 。 

5. 选择 密 文 攻击 

密码 分 析 者 能 选择 不 同 的 被 加 密 的 密 文 ,并 可 得 到 相应 的 解密 的 明文 ,例如 密码 分 析 者 
存 取 一 个 防 自 改 的 自动 解密 盒 ,密码 分 析 者 的 任务 是 推出 密 钥 。 这 种 攻击 主要 用 于 公开 密 
钥 算 法 。 选 择 密 文 攻击 有 时 也 可 有 效 地 用 于 对 称 算法 (有 时 选择 明文 攻击 和 选择 密 文 攻击 
被 一 起 称 为 选择 文本 攻击 ) 。 

了 解 这 些 密码 分 析 的 攻击 类 型 有 助 于 根据 不 同 攻击 类 型 的 特点 去 设计 和 加 强 密码 系 
统 , 以 防止 遭受 致命 的 攻击 。 一 个 具有 健壮 的 抗 密码 分 析 的 密码 系统 应 当 满 足下 述 基本 
要 求 ， 

(1) 系统 即使 不 能 达到 理论 上 不 可 破解 ,也 应 当 是 实际 上 不 可 破解 的 。 即 对 于 上 述 的 5 
种 攻击 方法 ,要 确定 密 钥 或 任意 明文 在 计算 上 是 不 可 行 的 。 

(2) 系统 的 保密 性 仅仅 依赖 于 对 密 钥 的 保密 ,其 保密 体制 或 算法 是 公开 的 。 

G) 加 密 和 解密 算法 适用 于 所 有 密 钥 空 间 的 元 素 。 

(4) 系统 既 易于 实现 ,又 便于 实现 。 


2.1.4 经 典 密 码 学 


经 典 密码 体制 (或 称 古 典 密码 体制 ) 采 用 手工 或 者 机 械 操作 实现 加 解密 ,相对 简单 。 回 
顾 和 研究 这 些 密码 体制 的 原理 和 技术 ,对 于 理解 .设计 和 分 析 现 代 密 码 仍然 行 借鉴 意义 。 

在 计算 机 出 现 前 ,密码 学 由 基于 字符 的 密码 算法 构成 。 不 同 的 密码 算法 是 字符 之 间 互 
相 代 换 或 者 互相 之 间 换 位 ,好 的 密码 算法 是 结合 这 两 种 方法 ,每 次 进行 多 次 运算 。 

大 多 数 经 典 加 密 早 在 计算 机 普及 之 前 就 已 经 被 开发 出 来 了 。 一 些 加 密 方法 现在 还 被 密 
码 爱 好 者 所 使 用 。 广 义 地 说 ,经 典 密码 学 可 定义 为 不 要 求 用 计算 机 实现 的 所 有 加 密 算 法 。 
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这 并 不 是 说 它 不 能 在 计算 机 上 实现 ,而 是 因为 人 们 可 以 手工 加 密 和 解密 文字 ,在 计算 机 出 现 
后 ,由 于 计算 机 运算 的 速度 远 远 高 于 手工 计算 速度 ,所 有 经 典 密码 算法 能 够 被 计算 机 很 容易 
地 破解 。 

目前 任何 重要 的 应 用 程序 ,都 不 推荐 使 用 这 些 经 典 加 密 算法 。 不 过 ,通过 对 这 些 算法 的 
本 质 及 其 特点 进行 研究 ,可 以 更 好 地 理解 现代 加 密 算法 ,因为 这 些 经 典 加 密 以 一 种 很 简单 的 
方式 阐述 了 那些 促进 当前 密码 学 发 展 的 概念 。 经 典 密码 学 大 体 上 可 分 为 三 类 , 单 表 代 换 密 
码 、 多 表 代 换 密码 和 多 字母 代 换 密码 。 

l. 单 表 代 换 密码 

将 字母 a,b,c,d,…,x,y,z 用 d,e,f,g,…,z,a,b,c 来 代替 (即将 字母 表 中 的 每 个 字母 用 
其 后 的 第 3 个 字母 进行 替换 ,此 时 密 钥 为 3) 。 例 如 , 若 明文 为 student, 则 对 应 的 密 文 为 
vwxghqw。 这 就 是 著名 的 恺 撒 CKaesar) 密 码 ,也 称 为 移 位 代 换 密码 。 

已 撒 密 码 仅 有 26 个 可 能 的 密 钥 ,是 不 安全 的 。 如 果 允 许字 母 表 中 的 字母 用 任意 字母 进 
行 蔡 换 , 即 上 述 密 文 能 够 是 26 个 字母 的 任意 排列 , 则 将 有 26! 或 多 于 4X10” 种 可 能 的 密 
钥 。 这 样 的 密 钥 空间 即使 用 计算 机 进行 穷 举 搜索 密 钥 也 是 不 现实 的 。 

例 2-1 “随机 ?置换 加 密 与 解密 算法 。 

明文 :abcdefghijklmnopqrstuvwxyz 

"WX:XNYAHPOGZQWBTSFLRCVMUEKJDI 

解密 过 程 是 如 下 的 一 个 逆 置 换 。 

密 文 : A BCDEFGHIJKLMNOPQRSTUVWXYZ 

Wjx:dlryvohezxwptbgfíjaqnmuskaci 

设 接收 方 收 到 这 样 一 条 密 文 : 

MGZV YZLGHC MHJM YXSSFM NH AHYCDLMHA 

根据 例 2-1 的 密 钥 约定 ,其 解密 后 的 明文 如 下 : 

this cipher text cannot be decrypted 

2. 多 表 代 换 密码 

多 表 代 换 密码 中 最 著名 的 一 种 密码 称 为 维 吉 尼 亚 (Vigenere) 密 码 。 这 是 一 种 以 移 位 代 
换 为 基础 的 周期 代 换 密码 ,m 个 移 位 代 换 表 由 m 个 字母 组 成 的 密 钥 字 确 定 ( 这 里 假设 密 钥 
FP mm 个 字母 不 同 ,如 果 有 相同 的 , 则 代 换 表 的 个 数 是 密 钥 字 中 不 同 字 母 的 个 数 )。 如 果 密 
钥 字 为 deceptive. HXH we are discovered save yourself 的 加 密 过 程 为 : 

字母 ,abcdefghijk |l mn op qr s tuvwx yz 

数码 。 0123456789 1011 12 13 14 15 16 17 18 19 20 21 22 23 24 25 

明文 :wear ed is covere d sa veyour s el f 

密 钥 : dcce pt iv edecep t iv edecep t iv e 

1$[7:3424151982143424151982143424 15 19 8214 

X X:ZICVTWQNGRZGVTWAVZHCQYGLMG]J 

其 中 , 密 钥 字母 a,b,…,x,y,z 对 应 数码 0,1,…,24,25。 这 里 的 数码 就 是 在 加 密 过 程 
中 对 应 字母 向 右 ( 左 ) 移 位 的 位 数 ,由 此 位 对 应 的 字母 即 为 替换 字母 。 

加 密 过 程 是 , 密 钥 字母 d 对 应 数字 3 ,因而 明文 字母 w 在 密 钥 字母 d 的 作用 下 向 右 ( 后 ) 
Te 3 位 ,得 到 密 文 字母 Z; 明 文字 母 在 密 钥 字母 e 的 作用 下 向 右 ( 后 ) 移 4 位 ,得 到 密 文 字母 
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i, 以 此 类 推 。 解 密 时 , 密 文字 母 在 密 钥 字母 的 作用 下 向 左 ( 前 ) 移 位 。 

分 析 : 在 维 吉 尼 亚 密 码 中 ,如 果 密 钥 字 的 长 度 是 m, 明 文中 的 一 个 字母 是 能 够 反映 成 这 
m 个 字母 中 的 一 个 的 。 容 易 看 出 , 维 吉 尼 亚 密码 中 长 度 为 m 的 可 能 密 钥 字 的 个 数 是 26” ,其 
至 对 于 一 个 较 小 的 mm 值 ,如 m= 二 5, 密 钥 空 间 为 265 ,超过 了 1. 15€ 107 ,这 个 空间 足以 阻止 手 
工 穷 举 密 钥 搜索 。 但 这 么 大 的 密 钥 空 间 , 若 用 计算 机 进行 穷 举 搜索 , 则 毫 不 费力 ,只 要 几 分 
钟 的 时 间 即 可 破解 。 所 以 , 若 要 抗击 计算 机 穷 举 分 析 , 则 需要 m8. 

为 方便 记忆 , 维 吉 尼 亚 密码 的 密 钥 字 常 常 取 于 英文 中 的 一 个 单词 一 个 句子 或 一 段 文 
章 。 因 此 , 维 吉 尼 亚 密 码 的 明文 和 密 钥 字母 频率 分 布 相同 ,仍然 能 够 用 统计 技术 进行 分 析 。 
要 抗击 这 样 的 密码 分 析 , 只 有 选择 与 明文 长 度 相 同 并 与 之 没有 统计 关系 的 密 钥 内 容 。 
1918 年 美国 电报 电话 公司 的 G. W. Vernam 提出 这 样 的 密码 系统 : 明文 英文 字母 编 成 5 比 
特 二 元 数字 , 称 之 为 5 单元 波多 代码 (Baudot Code) ,选择 随机 二 元 数字 流 作为 密 钥 ,加 密 通 
过 执行 明文 和 密 钥 的 逐 位 异 或 操作 ,产生 密 文 ,可 以 简单 地 表示 为 C; — POK, G—1.2.3. 
4,5) ,这 就 是 Vernam 加 密 技 术 。 

其 中 ,P; 表示 明文 的 第 i 个 二 元 数字 ,K; 表示 密 钥 的 第 i 个 二 元 数字 ,C; 表示 密 文 的 第 
i 个 二 元 数字 ,外表 示 异 或 操作 。 解 密 仅 需 执行 相同 的 逐 位 异 或 操作 P;— CIOK;. 

Vernam 密码 系统 的 密 钥 若 不 重复 使 用 ,就 能 得 到 一 次 一 个 密码 。 若 密 钥 有 重复 ,尽管 
使 用 长 密 钥 增加 了 密码 分 析 的 难度 ,但 只 要 有 了 足够 的 密 文 , 使 用 已 知 的 或 可 能 的 明文 序 
列 ,或 二 者 结合 就 能 够 破译 。 

3. 多 字母 代 换 密码 

前 面 介绍 的 密码 都 是 以 单个 字母 作为 代 换 的 对 象 ,对 多 于 一 个 字母 进行 代 换 ,就 是 多 字 
母 代 换 密码 。 它 的 优点 是 容易 将 字母 出 现 的 频 度 隐 项 ,从 而 抗击 统计 分 析 。 这 里 介绍 Hill 
密码 , 它 是 数学 家 Lester Hill 于 1929 年 研制 的 。 虽 然 这 类 密码 由 于 加 密 操 作 复杂 而 未 能 
广泛 应 用 ,但 仍 在 很 大 程度 上 推进 了 经 典 密码 学 的 研究 。 

Hill 密码 将 明文 分 成 每 m 个 字母 为 一 组 的 明文 组 , 若 最 后 一 组 不 够 m 个 字母 就 用 字母 
补足 ,每 组 用 m 个 密 文字 母 代 换 ,这 种 代 换 由 m 个 线性 方程 决定 ,其 中 字母 a,b,…,y,z 分 
别 用 数字 0,1,…,24,25 表示 。 若 mm 二 3, 该 系统 可 以 描述 如 下 : 

C, = (kn Pi + k2 P; + £j; P3) mod 26 
C; = (ka Pi + kz P; + kzs P3) mod 26 
Cs = (kz Pi + kzz P; + £3 P3) mod 26 


可 用 列 向 量 和 矩阵 表示 为 : 
C, ku ks du] 
Erb 
C, ks Em kn dL Ps 


C — KP 
其 中 ,C 和 PP 分 别 是 密 文 和 明文 向 量 ,K 是 密 钥 和 矩阵 ,主要 操作 过 程 要 执行 模 26 运算 。 
例 2-2 用 密 钥 
|. | 
K= 
8 7 


或 
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来 加 密 明 文 july。 将 明文 分 成 两 个 组 ju 和 1y, 分 别 为 [9,20] 和 [11,24], 计 算 如 下 : 
11 3)][ 9] [994-60 mod26 [3 
| 8 Ill- perm mod xl H 
11 3)[11] [121 +72 mod 26] [11 
| 8 lal- Do mod xl" EI 
因此 ,july 的 加 密 结果 为 delw。 
为 了 解密 ,必须 先 计算 密 钥 矩阵 天 的 逆 和 矩阵 。 


然后 计算 
P-K'C 


7 23][3 21 +92 mod 26 9 
[i alil- pes mod a] [a] 
7 23]p11 77 +506 mod 26 11 
| disi eroe mod x] b] 
最 后 ,得 到 正确 的 明文 july. 


从 以 上 分 析 可 知 , 单 表 代 换 密码 和 多 表 代 换 密码 都 是 每 次 加 密 一 个 字母 ,而 多 字母 代 换 
密码 每 次 可 加 密 多 个 字母 。 


2.2 对称 密码 体制 


2.2.1 基本 概念 


对 称 密码 加 密 也 称 常规 密码 加 密 、 单 钥 密 码 加 密 、 秘 密 密 钥 加 密 , 它 包括 许多 数据 加 密 
方法 。 公 钥 密 码 技术 出 现 之 前 ,对 称 密码 系统 已 被 使 用 了 多 年 。 其 基本 特征 是 : 数据 加 密 
和 解密 使 用 同一 个 密 钥 ; 在 算法 公开 的 前 提 下 所 有 秘密 都 在 密 钥 中 ,因此 密 钥 本 身 应 该 通过 
另外 的 秘密 信道 传递 。 对 称 密码 系统 的 安全 性 依赖 于 两 个 因素 : 其 一 ,加 密 算法 强度 至 少 
应 该 满足 : 当政 手 已 知 算法 ,通过 截获 密 文 不 能 导出 明文 或 者 发 现 密 钥 。 更 高 的 要 求 是 当 
敌手 即使 拥有 部 分 密 文 以 及 相应 明文 段落 也 不 能 导出 明文 或 者 发 现 密 钥 系统 。 其 二 ,发 送 
方 和 接收 方 必 须 以 安全 的 方式 传递 和 保存 密 钥 副本 ,对 称 加 密 的 安全 性 取决 于 密 钥 的 保密 
性 而 不 是 算法 的 机 密 性 。 


2.2.2. 数据 加 密 标准 


自从 1977 年 ANSI 发 布 数据 加 密 标 准 (Data Encryption Standard,.DES) 以 来 ,DES 作 
为 一 个 在 世界 范围 内 应 用 最 广泛 的 分 组 数据 加 密 标准 存在 了 三 十 余年 。DES 在 很 长 一 个 
时 期 抵抗 了 密码 分 析 , 目 前 互联 网 上 的 个 人 通信 和 和 一般 商业 数据 交换 中 仍 在 广泛 使 用 。 

1972 年 美国 国家 标准 局 (NBS, 现 在 的 NIST, 即 美国 国家 标准 与 技术 研究 所 ) 拟 订 了 一 
个 保护 计算 机 和 通信 数据 安全 的 计划 。 作 为 该 计划 的 组 成 部 分 ,他 们 希望 得 到 一 个 实现 容易 ， 
便于 测试 和 研制 的 密码 算法 。1973 年 5 月 ,NBS 公开 征集 标准 密码 算法 ,其 设计 准则 包括 : 
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。 算法 应 该 具有 较 高 的 安全 性 。 

。 算法 完全 确定 且 易于 理解 。 

。 算法 的 安全 性 必须 依赖 于 密码 而 不 是 算法 。 

。 算法 必须 适 于 各 种 应 用 ,对 所 有 用 户 有 效 。 

。 算法 可 以 经 济 地 用 硬件 实现 。 

。 算法 必须 有 出 口 。 

1974 年 8 月 ,NBS 第 二 次 发 布 征集 公告 后 , 收 到 IBM 公司 的 一 个 候选 算法 。 该 算法 是 
TE IBM 于 20 世纪 70 年 代 初 开发 的 Lucifer 算法 基础 上 的 修改 和 发 展 。 经 过 2 年 多 的 评 
fli .讨论 ,1976 年 11 月 ,DES 被 授权 在 美国 政府 的 非 密级 政府 通信 中 使 用 。1977 年 7 月 
15 日 ,DES 作为 美国 联邦 信息 处 理 标 准 (FIPS-6) 正 式 生 效 。DES 在 实施 过 程 中 ,每 隔 
5 年 由 美国 国家 安全 局 (NSA) 重 新 评估 一 次 ,最 后 一 次 评估 是 1994 年 1 月 。 值 得 注意 的 
是 ,IBM 提交 的 候选 算法 密 钥 长 度 112, 但 是 公布 的 用 于 出 口 的 DES 算法 的 密 钥 长 度 为 56 。 
因此 人 们 曾经 怀疑 DES 的 安全 强度 ,NSA 是 否 在 其 中 设置 了 陷 门 。 但 无 论 如 何 ,DES 得 到 
包括 金融 业 在 内 的 广泛 应 用 ,同时 对 DES 安全 性 的 研究 也 在 不 断 继续 。 

1997 年 一 个 研究 小 组 经 过 4 个 月 努力 ,在 Internet. 上 搜索 了 3X 105 个 密 钥 , 找 出 了 
DES 的 密 钥 。 同 年 NIST 宣布 1998 年 12 月 以 后 美国 政府 不 再 使 用 DES, 并 且 发 出 征集 
AES( 高 级 加 密 标 准 ) 的 通知 。1998 年 5 月 美国 研究 机 构 EFF (Electronic Frontier 
Foundation) 宣 布 用 一 台 价 值 20 万 美元 的 计算 机 改装 的 专用 解密 系统 ,花费 56 小 时 破译 了 
56 位 密 钥 的 DES。2000 年 10 月 2 日 ,NIST 公布 了 新 的 AES,DES 作为 标准 正式 结束 。 尽 
管 如 此 ,学 习 DES, 对 于 掌握 分 组 密码 的 基本 理论 和 设计 思想 仍然 有 重要 参考 价值 。 同 时 
在 非 机 密级 的 许多 应 用 中 ,DES 仍 在 广泛 使 用 。 


2.2.3 加 密 算法 


DES 是 一 个 迭代 分 组 密码 , 它 使 用 56 比特 长 度 密 钥 加 密 64 比特 长 度 明 文 获 得 64 比特 
长 的 密 文 。 它 的 轮 函数 使 用 的 是 Feistel 结构 ,和 迭代 的 轮 数 为 16 轮 。 其 加 密 过 程 如 下 : 
CD 给 定 一 个 明文 +, 通过 一 个 固定 的 初始 置换 IP 作用 于 xz 得 到 xzx,, 将 xo 分 成 两 部 
分 。 记 为 zo 二 LoR。 HEP Lo 是 xo 的 前 32 比特 ,R。 是 x 的 后 32 比特 。 
(2) 结合 密 钥 ,对 Lo A R 进行 16 轮 的 迭代 运 
算 。 每 一 轮 的 运算 规则 如 下 : 
L= Ra 
R; = La BfR kh) l1xisxl6 
其 中 四 表示 两 个 比特 串 的 按 位 异 或 ; 矿 是 一 个 非 线 
性 函数 ;ki sko enn ,kis 都 是 由 密 钥 上 按照 一 定 的 规则 
生成 的 ,长 度 均 为 48 比特 。 每 一 轮 的 加 密 过 程 如 
图 2-1 所 示 。 
G) 最 后 一 轮 迭 代 后 ,作用 两 个 32 比特 串 并 不 交换 , 即 得 到 了 比特 串 RsLes。 对 比特 
串 RisLas 应 用 初始 置换 IP 的 着 交换 IP ,获得 密 文 c。 
要 了 解 DES 的 具体 加 密 过 程 , 就 必须 了 解 DES 的 几 个 组 件 。 


| k Ra 


L || B; 
图 2-1 一 轮 DES 的 加 密 过 程 
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1. 初始 置换 IP 及 其 逆 交 换 IP 

IP 置换 的 作用 是 将 一 个 64 比特 的 消息 中 的 各 个 比特 进行 换 位 ,目的 是 将 消息 中 各 个 
比特 的 顺序 打 乱 。 设 r= rirxe M) IPCz) 王 zsszso…zy* 即 IPCz) 中 的 第 1 位 为 工 中 的 
第 58 位 ,IP(Cz) 中 的 第 2 位 为 x 中 的 第 50 位 ,依次 类 推 ,IPCz) 中 的 第 64 位 为 x 中 的 第 
7 位 ,如 表 2-1 所 示 。 


表 2-1 DES 的 初始 置换 IP 


IP 
58 50 42 34 26 16 10 2 
60 52 44 36 28 20 12 4 
62 54 46 38 30 22 14 6 
64 56 48 40 32 24 16 8 
57 49 41 33 25 17 9 1 
59 51 43 35 27 19 11 3 
61 53 45 37 29 21 13 5 
63 55 47 39 31 23 15 第 


IP- :为 置换 IP 的 逆 变 换 , 如 表 2-2 所 示 。 
表 2-2 DES 的 初始 置换 IP 的 逆 变 换 


IP™! 
40 8 48 16 56 24 64 32 
39 7 47 15 55 23 63 31 
38 6 46 14 54 22 62 30 
37 5 45 13 53 21 61 29 
36 4 44 12 52 20 60 28 
35 3 43 11 51 19 59 27 
34 2 42 10 50 18 58 26 
33 1 41 9 49 17 57 25 
2. 扩展 变换 EE 
扩展 变换 已 将 32 比特 消息 扩充 为 48 比特 的 消息 ,如 表 2-3 所 示 。 
3. 置换 P 


置换 书 将 32 比特 消息 按 表 2-4 进行 重新 排列 。 

8 个 S 盒 Si,S:,…,'Ss。 每 个 S 盒 Si 都 是 将 6 比特 的 消息 映射 为 一 个 4 比特 的 消息 。 
设 一 个 S; 的 输入 为 6 比特 串 z 王 zizzzrszizsz6 ,将 riss 和 zox3zxsxs 作为 二 进 制 数 。 设 
aas 和 zsxsaxsxs 对 应 的 十 进 制 数 分 别 为 1 和 <,. 则 S; 中 第 ! 行 . 第 c 列 的 整数 的 二 进 制 表 
示 就 是 Si 的 输出 ,如 表 2-5 所 示 。 
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表 2-3 扩展 函数 EE 表 2-4 置换 P 
扩展 函数 E 置换 函数 PP 
32 1 2 3 4 5 16 17 20 21 
4 5 6 7 8 9 29 12 28 17 
8 9 10 11 12 13 1 15 23 26 
12 13 14 15 16 17 5 18 31 10 
16 17 18 19 20 21 2 8 24 14 
20 21 22 23 24 25 32 27 3 9 
24 25 26 27 28 29 19 13 30 6 
28 29 30 31 32 1 22 11 4 25 
表 2-5 DES 的 S 盒 
行 / 列 | 0 1 2|83|4|5/|6|7]|89]|10|11/|12]|13 1| 15 
0 14 | 4 | 13 | 1 2|15|11|8]|3/|10|6|12|5 9 | 0 2 
1 0 |15 7 | 4 |14 2.13| 1 |10 6|12 | 1| 9 | 5| 3 8 
^ 2 4| y |I| 8 |13 6| 2| |15 |12| 9 7|3 [10 | 5 0 
3 15 | 12 8|2.]|4 9 1|-* |5 |15|-$ |14|19 |o |.6 | I3 
0 15 i 8|14.|6|1|3|4|9 7|2]|13|12|]0 | 5 | 10 
1 3.13 | 4 7 | 15 2|.8|M 12 | 0 1[|10|] 6/9 |11 5 
" 2 0 |14 7 | it |10 4 | 13 1 5 | 8 |12 6| 9| 3]|2 | 15 
3 13 | 8 |10 1|8|15|4]|2 1 6|7 12|0/|5|M 9 
0 10,0|9 |14| 6 | 3|15]| 5 i |i3]|2| 7 |3b]| 4 |.2 8 
1 13 7 | 0 9|3/|4 6 10 | 2 &| -ç We |12 1L |15 1 
A 2 13 | 6 | 4 9| -8 |15 3 © |n 1 2:12 5 |10 |14 7 
3 1[|10 is 0|6|9 8|7|4]|15|14|3 | 1 5 |2 | 12 
0 7|13|]14|3]|0|6 | 9 [10 | | 2]|8]|.5 |11/|12| 4 | 15 
1 13$ 8|1|5]|6 |15| 0 3 | 4 7| 232 1 | 10 |14 9 
" 2 |10 6| 9|0 |12|1H 7 | 13 |15 1 3 |14 5.| 2.8 4 
3 3 |15| 0| 6 |10 | 1 |13 8.9|4|5]|1|12)|7 2]|14 
0 2|12|4 1 7.10|1|6|8]|5 3 |15]|13| 0 |14| 9 
1 |14 |11| 2 |12 | 4 7| 313] 1 5|0]|15 |10| 3,9 8| 6 
> 2 4 2|1]|n |10|13|] 7| 8|15 | 9 |12 5| 6,3 0 | 14 
3 |H 8|12 | 7 i |i | 2]|13 | 6 |15 | 0 9|10| 4 5. 3 
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续 表 

行 / 列 | 0 1 2 3 4 5 6 7 8 9 |10| 11 12 | 13 | 1M | 15 
0 12 1|10]15|9|2|6|8  0|13| 3| 4 | M | 7 5| di 

1 10 |15 4| 2|7]|12 | 9| 5 6 1 |13 |14 0 |11 3 8 

» 2 9 |14 | 15 s| g| éji |a t oj 4 |10 iia |i 6 
3 as 2.12/9 |5]|15 |10 |x |1M | 1 7 6| 0 | 8 | 13 

0 412|1|15|08]13| 3|12|9 | 7 5 |10| 6 1 

y iis O0 [1 7| 4] 9 1 | 10 |14 3:1 5-12 2 | 35 | 8 6 

" 2 1 4111 |13|12 | 3 | 7 |14 10 | 15 | 6 | 8 | 0 5 | 9 2 
3 6 | 11 |13 8 1| 4 |10 7.9 50/15 |M pl 3| 12 

0 13 2 |8 | 4 6 |15 | 11 | 1 | 10] 9 3$ |14| 5| 0  12| 7 

1 1|15 |13 | 8 |10 3 75/4[|12]|5 6 |11 | 0 |14 9 | 2 

2 71 4 1 9 |12|14| 2 0| 6 |10 | 13 |15 3 5| 8 
3 2| 1]|M 7 a |1o| $8.43. | 15 | 12 |--8 0|3 5 6|1 


例 2-3 S, 的 输入 为 101101 , 则 行 数 和 列 数 的 二 进 制 表示 分 别 为 11( 第 1 位 和 第 6 位 ) 
和 0110( 中 间 4 位 ), 即 第 3 行 和 第 6 列 , 查 S 盒 可 知 ,S, 的 第 3 行 第 6 列 的 十 进 制 数 为 4, 用 
4 位 二 进 制 数 表 示 为 0110 ,所 以 S: 的 输出 为 0110。 
例 2-4 iX S, 的 输入 为 101011, 则 有 : 
Wb — (110; = 3. brb bib; — (010); — 5 S35) = (9), = (1001); 
扩展 变换 已 .置换 P 都 用 于 非 线 性 函数 1 "m. PS 了 的 输入 为 两 个 变量 Ri;-!1 和 ,其 中 
R;-1 是 一 个 长 为 32 比特 的 串 ,k; 是 一 个 长 为 48 比特 的 串 , 如 图 2-2 所 示 。 


Rua ki 
E(R, 1) 
[ A, A; A; A | 4 P 4; Ag 
i 1 i i i 1 i 1 
s] Ls] Cs] Cs] [s] Cs] Cs] Cs 
1 i 1 i i i 1 i 
colelelje[e6el«|oeol]lse 


REG, ki) 


图 2-2 DES 的 轮 函 数 f 
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了 的 计算 过 程 如 下 : 

CD 利用 扩展 变换 EE 将 R;_1 扩 展 成 一 个 48 比特 的 串 ,然后 计算 E(R;_1)k;, 将 所 得 的 
结构 分 成 8 个 6 比特 的 串 , 记 为 A 二 AiA,AsAsAsA6ArAs。 

(2) 将 Ai As As 分 别 作为 8 个 S 盒 的 输入 , 查 表 得 到 输出 C; 二 Si;(A;),1<i<8。 

(3) 利用 置换 P 作用 于 长 度 为 32 比特 的 串 C=C C C: C, C; C, C; C, ,将 所 得 到 的 结果 
作为 函数 三 的 输出 , 即 R;— f (Lii ski) =PO). 

每 一 轮 中 的 函数 f 的 另 一 个 输入 k; 都 是 由 初始 密 钥 k 经 过 迭代 运算 而 得 到 的 48 比特 
P. e dé— 64 比特 串 ,但 实际 上 它 的 有 效 位 只 有 56 比特 , 它 的 第 8,16,…,64 位 为 校 验 
比特 , 共 8 位 ,主要 功能 是 进行 奇偶 校 验 。 这 8 个 比特 定义 如 下 : 若 其 前 面 7 个 比特 中 有 奇 
数 个 1 则 该 比特 为 0, 反 之 为 1。 在 密 钥 方 案 中 ,不 考虑 校 验 比特 。 具 体 的 密 钥 方案 如 
图 2-3 所 示 。 


初始 密 钥 k 
i 
PC-1 
C D, | 
i 1 
LS, LS, 
1 1 
C D, | PC2 H k 
1 1 
LS, LS, 
1 1 
1 1 
LS, LS, 
1 1 
Cis Des =| PC2 |= he 
图 2-3 DES 的 密 钥 方案 
密 钥 方案 的 计算 过 程 如 下 : 
(1) 给 定 一 个 64 比特 初始 密 钥 &, 删 除 8 个 奇偶 校 验 比特 ,并 利用 一 个 固定 的 置换 


PC-1 对 剩余 的 56 比特 进行 置换 ,将 置换 后 的 56 比特 串 分 成 两 个 28 比特 串 , 记 为 PC-100 — 
C, D, ,其 中 C, 为 前 28 比特 ,D。 为 后 28 比特 。 
(2) 对 每 一 个 i,1 志 i 过 16, 计 算 
C; = LS) 


D; — LS COD; 
k; = PC-2CC;D;) 
其 中 ,LS; 表示 作 循 环 移 位 , 当 i 二 1,2,9,16 时 , 左 循环 移 1 位 , 当 i==3,4,5,6,7,8,10,11， 


12,13,14,15 时 , 左 循环 移 2 位。PC-2 是 一 个 压缩 置换 , 它 将 一 个 56 比特 串 压缩 置换 成 一 
个 48 比特 串 。 
置换 PC-1 和 置换 PC-2 如 图 2-4 所 示 。 
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PC-1 PC-2 
57 49 41 33 25 17 9 14 17 11 24 1 5 
1 58 50 42 34 26 18 3 28 15 6 21 10 
10 2 59 51 43 35 27 23 19 12 4 26 8 
19 11 3 60 52 44 36 16 g. 27 20 13 2 
63 55 AT 39 31 23 15 41 52 31 37 47 55 
7 62 54 46 38 30 22 30 40 51 45 33 48 
14 6 61 53 45 37 29 44 49 39 46 34 53 
21 13 5 28 20 12 4 46 42 50 36 29 32 


图 2-4 DES 中 的 置换 PC-1 和 置换 PC-2 


DES 的 解密 采用 同一 算法 实现 ,把 密 文 c 作为 输入 ,逆序 使 用 密 钥 方案 , 即 以 kis» 
Jis etd 的 顺序 使 用 密 钥 方案 ,输出 的 将 是 明文 x。 


2.2.4 密 钥 交换 技术 


Internet 密 钥 交换 协议 (CIKE) 用 于 通信 双方 协商 和 建立 安全 联盟 ,交换 密 钥 。IKE 定义 
了 通信 双方 进行 身份 验证 ,协商 解密 算法 以 及 生成 共享 的 会 话 密 钥 的 方法 。IKE DOOR TE 
于 它 永 远 不 在 不 安全 的 网 络 上 直接 传送 密 钥 ,而 是 通过 一 系列 数据 的 交换 ,通信 双方 最 终 计 
算出 共享 的 密 钥 。 其 中 的 核心 技术 ,就 是 DH(Diffie-Hellman) 交 换 技术 。DH 交换 基于 公 
开 的 信息 计算 私有 信息 。 数 学 上 已 经 证 明 , 破 译 DH 交换 的 计算 复杂 度 非 常 高 ,从 而 是 不 可 
实现 的 。 所 以 ,DH 交换 技术 可 以 保证 双方 能 够 安全 交换 公有 信息 ,即使 第 三 方 截获 了 双方 
用 于 计算 密 钥 的 所 有 交换 数据 ,也 不 足以 计算 出 真正 的 密 钥 。 

在 身份 验证 方面 ,IKE 提供 了 共享 验证 字 (pre-shared key) 、 公 钥 加 密 验 证 .数字 签名 验 
证 方法 。 后 两 种 方法 通过 对 CA(Certificate Authority) 中 心 的 支持 来 实现 。 

IKE 密 钥 交 换 分 为 两 个 阶段 。 其 中 阶段 1 建立 ISAKMP SA, 有 主 模 式 (Main Mode) 
和 激进 模式 (Aggressive Mode) 两 种 。 阶 段 2 在 阶段 1 ISAKMP SA 的 保护 下 建立 IPSec 
SA , 称 为 加 速 模式 (Quick Mode), IPSec 用 于 最 终 的 IP 数据 安全 传输 。 

另外 ,IKE 还 包含 有 传送 信息 的 信息 交换 (Informational Exchange) 和 建立 新 DH 组 的 
组 交换 (DH Group). 


2.3 非 对 称 ( 公 钥 ) 密 码 


2.3.1 基本 思想 


非 对 称 密 钥 密码 也 称 为 公开 密 钥 密 码 。 使 用 公开 密 钥 密码 的 每 一 个 用 户 都 分 别 拥 有 两 
个 密 钥 : 加 密 密 钥 与 解密 密 钥 ,两 者 并 不 相同 ,并 且 由 加 密 密 钥 得 到 解密 密 钥 在 计算 上 是 不 
可 行 的 。 每 一 个 用 户 的 加 密 密 钥 都 是 公开 的 (因此 ,加 密 密 钥 也 称 为 公开 密 钥 )。 所 有 用 户 
的 公开 密 钥 都 将 记录 在 作用 类 似 于 电话 号 码 德 的 密 钥 本 上 ,而 它 可 以 被 所 有 用 户 访问 ,这 
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样 , 每 一 个 用 户 都 可 以 得 到 其 他 所 有 用 户 的 公开 密 钥 。 同 时 ,每 一 个 用 户 的 解密 密 钥 将 由 用 
户 保存 并 严格 保密 (因此 ,解密 密 钥 也 称 为 秘密 密 钥 ) 。 


2.3.2 RSA 公 钥 密码 体制 


RSA 体制 是 由 美国 麻 省 理工 学 院 (MIT) 的 研究 小 组 提出 的 ,该 体制 的 名 称 是 用 了 该 文 
三 位 作者 (Rivest、Shamir 和 Adleman) 英 文 名 字 的 第 一 个 字母 组 合 而 成 。 该 体制 的 理论 基 
础 是 数论 中 的 下 述 论断 : 要 求 得 两 个 大 素数 (如 大 到 100 位 ) 的 乘积 ,在 计算 机 上 很 容易 实 
现 ,但 要 分 解 两 个 大 素数 的 乘积 ( 即 从 乘积 求 它 的 两 个 素 因子 ) 在 计算 上 几乎 不 可 能 实现 。 
也 可 以 说 ,RSA 体制 是 利用 了 数论 中 竹 剩 余 函 数 的 密 锁 单 向 特性 。 

1. RSA 密码 体制 的 加 密 和 解密 方案 

RSA 密码 体制 的 加 密 对 象 是 数字 化 信息 , 待 加密 的 明文 ,不 管 是 语言 .文字 ,还 是 数据 
或 ASCII 码 ,总 可 以 用 一 个 0 一 0m 一 1) 之 间 的 一 个 整数 来 表示 。 也 就 是 先 把 一 条 长 的 明文 
消息 , 按 定 长 划分 为 一 串 分 组 ,在 分 别 用 一 个 整数 来 代 蔡 每 一 个 分 组 。 

RSA 密码 体制 中 的 每 一 个 用 户 ,如 工 ,首先 选择 两 个 随机 大 素数 p; 和 g;( 下 标 i 表示 用 
户 工 所 选用 的 有 关 参 数 ) ,并 把 它们 的 乘积 


m; = bi*qi (2.13 
作为 宕 剩余 变换 的 模 。 
然后 ,再 按 下 式 选 择 一 个 随机 整数 d; 
(dis$(mi))=1 (2.2) 


Bl d; 和 (pi 一 1)，(g; 一 1) 必 须 互 素 。 
最 后 ,从 p;,q; 和 ai 按 下 式 计算 出 整数 e; 
e; * di 三 1 (mod $(m;)) (2.3) 
由 于 d; 是 按 式 (2.2) 选 择 的 ,因此 ,以 $n AIR d; 的 乘 逆 肯 定 是 存在 并 可 按 式 (2.3) 求 出 。 
同 理 ,用 户 也 可 按 上 述 原 则 选 出 另 一 组 整数 pj 、g; m; 、d; Mejo 
Ce; m; fll Ce; ,mj) 分 别 为 用 户 I 和 J 的 公开 密 钥 , 公 开 密 钥 连 同 用 户 了 和 J 的 姓名 、 地 
址 一 起 公布 在 密 钥 短 中 (如 同 电 话 号 码 短 一 般 ) ,也 可 存放 于 每 一 个 用 户 均 能 读 取 的 ROM 
之 中 。 而 di( 或 pisq) M d; CR p; ,gq;) 则 构成 了 用 户 了 和 J 的 私密 密 钥 , 对 秘密 密 钥 必 须 绝 
对 保密 。 
BRHF J 有 重要 信息 z 需要 送 给 用 户 工 , 则 它 首 先 从 公 钥 每 中 查 得 用 户 工 的 公 钥 (ei， 
mi) ,然后 按 下 式 对 明文 进行 加 密 变 换 获得 密 文 
a" = a (mod m;) (2.4) 
密 文 a 经 不 保密 信道 传送 到 用 户 工 , 它 利 用 自己 的 秘密 密 钥 d; 按 下 式 对 密 文 a 进行 解 
a4 = x (mod m;) (2.5) 
以 恢复 明文 <。 由 上 可 见 , 利 用 每 剩余 函数 作 上 述 变 换 , 用 户 和 了 成 功 地 实现 了 公 钥 
密码 体制 的 保密 通信 。 
假设 用 户 J 为 防止 用 户 工 对 其 传送 的 信息 z 进行 窜改 ,需要 把 附 有 它 * 签 名 ”的 信息 传 
送 给 工 则 它 首 先 用 自己 的 秘密 密 钥 (di m; ) 按 下 式 对 明文 x 进行 一 次 变换 


xti = s (mod mj) (2.6) 
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我 们 把 利用 用 户 自己 的 秘密 密 钥 所 进行 的 上 述 变换 称 为 签名 变换 ,明文 工 经 签名 变换 
产生 了 签名 文本 ,显然 * 是 密切 依赖 于 明文 x 和 J 的 秘密 密 钥 (dj ,mj)。 

接着 ,用 户 J 再 利用 接收 方 了 的 公 钥 (ei;,wmi) 按 下 式 对 签名 文本 s 进行 一 次 公 钥 加 密 
变换 

s = qa(mod m;) (2.7) 

EX a 经 不 保密 信道 传送 到 用 户 工 ,用 户 工 首先 利用 自己 的 秘密 密 钥 d 对 接收 到 的 密 

X a 进行 解密 
ad = (si): = s (mod m;) (2.8) 

恢复 签名 文本 s ER PARA CAR s 是 明文 x 经 式 (2.6) 变 换 而 得 ,因此 ,s 文本 本 身 也 是 
一 堆 无 法 读 懂 的 杂乱 符号 的 集合 .但 在 s 文本 中 附加 某 种 明 信 息 , 以 告诉 接收 者 这 是 发 送 方 
J 的 签名 文本 。 以 便 用 户 工 利用 用 户 J 的 公 钥 对 * 再 按 下 式 进行 一 次 变换 

s" (r5) -= r (mod m;) (2.9) 
从 而 恢复 明文 x<。 我 们 把 利用 发 送 方 J 的 公 钥 进行 的 上 述 变换 叫做 译名 变换 。 

由 于 接收 方 工 同时 保留 了 明文 和 签名 文本 对 (z,s) ,发 送 方 永远 无 法 抵赖 明文 x 是 由 
他 发 送 的 ,因为 明文 x 是 利用 了 他 的 公 钥 (ej ,mj) 对 ;文本 进行 变换 获得 的 ,而 它 的 逆 变 换 ， 
即 从 明文 x 到 s 文本 的 变换 ,必须 要 用 到 只 有 用 户 J 自己 才 掌 握 的 他 的 秘密 密 钥 (wii ,mj)。 

同 理 , 接 收 方 了 也 无 法 帘 改 (zx,s) 文 本 对 。 由 于 接收 方 无 法 知道 发 送 方 J 的 秘密 密 钥 
(dj m; ,他 无 法 实现 从 明文 x 到 ; 文本 的 签名 变换 ,因而 也 就 无 法 在 zx 文本 中 删 去 或 增加 
任何 内 容 , 否 则 就 破坏 了 (x,s) 文 本 对 的 一 致 性 。 由 上 可 见 , 利 用 短 剩 余 函 数 的 特性 , RSA 
密码 体制 可 以 方便 地 实现 加 密 -解密 和 签名 -译名 变换 ,成功 地 解决 了 发 - 收 双 方 进行 保密 通 
信和 就 传送 内 容 可 能 引起 的 争端 ,为 在 商业 上 广泛 应 用 创造 了 重要 条 件 。 

2. RSA 密码 体制 中 的 基本 算法 

为 了 说 明 RSA 方案 是 切实 可 行 的 .下面 简要 介绍 加 密 、 解 密 变换 和 参数 选择 中 所 用 到 
的 基本 算法 。 

1) 加 密 和 解密 算法 

在 RSA 方案 中 , 式 (2.4) 和 式 (2.5) 所 示 的 加 密 - 解 密 变 换 , 以 及 式 (2.6) 和 式 (2.9) 所 示 
的 签名 -译名 变换 ,实质 上 都 是 求解 高 次 寡 剩 余 . 因 此 ,可 以 利用 重复 平方 和 乘 取 模 的 算法 

2) 大 素数 的 寻找 

由 于 RSA 方案 中 ,每 个 用 户 所 拥有 的 两 个 随机 素数 p 和 g 十 分 大 ,一 般 可 大 到 100 位 
数 ,因此 按 一 般 算法 寻找 ,是 完全 不 切实 际 的 ,切实 可 行 的 是 蒙特 卡 罗 测 试 法 ,可 以 快速 地 找 
到 所 需 大 小 的 随机 素数 。 

30 秘密 密 钥 d 的 选择 

由 解密 变换 式 (2. 5) 可 见 ,d 是 整个 方案 的 核心 机 密 ,一 旦 窃听 者 掌握 了 它 ,方案 也 就 被 
破译 了 。 为 了 防止 窃听 者 利用 直接 搜索 法 破译 出 d.d 必须 选择 得 足够 大 。 

为 了 保证 式 (2.5) 所 示 的 索 剩 余 变换 是 一 一 对 应 的 变换 ,d 必须 满足 式 (2. 2) 的 要 求 。 
因此 , 当 随 机 选择 了 一 个 大 整数 d 后 ,必须 利用 欧 几 里 德 算法 cR B d FICo— D * (G— Df 
最 大 公 因 数 。 如 最 大 公 因 数 不 等 于 1, 则 用 a 加 1 代替 d. BioK Cd .Cp— D * (一 1)) ,如 此 
继续 ,直到 (d,(p 一 1)，(g 一 1)) 二 1, 则 该 d 满足 了 式 (2.2) 要 求 。 有 时 选取 一 个 比 p 和 
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q 都 大 的 素数 作为 d ,此 时 ,d 必须 满足 式 (2. 2) 的 要 求 。 
4) 公 钥 e 的 求解 
为 了 保证 式 (2.4) 和 式 (2.5) 所 示 的 加 密 -解密 变换 是 一 对 互 逆 变 换 , 公 钥 e 必须 满足 式 
(2.3) 的 要 求 , 即 公 钥 e 是 以 $ Cn) 为 模 的 秘密 密 钥 d 的 乘 逆 。 
利用 欧 几 里 德 算法 ,可 以 把 & 和 $$(m) 的 最 大 公 因 数 表示 为 它们 的 线性 组 合 
(d.$Cm)) = ud + v$ Gn) (2. 10) 
该 算法 能 自动 给 出 比例 常数 和 wv, 由 于 (d,$8(m)) 二 1, 因 此 , 当 上 式 对 8(m) 取 模 时 ， 
即 得 
ud = 1 (mod $(m)) (2.11) 
BELA u 就 是 以 8 OMD JIREH d HIRIK SB u 就 是 要 找 的 公 钥 e。 
由 上 可 见 , 一 旦 知道 了 两 个 素数 pg 和 公 钥 e, 由 于 $46) 二 (p 一 1)。，(g 一 1), 所 以 ,从 
式 (2.10) 能 立即 求 得 秘密 密 钥 4d, 因此 ,在 RSA 方案 中 ,不 仅 把 解密 密 钥 a 而 且 还 要 把 两 个 
大 素数 p 和 g 视 作为 秘密 密 钥 。 
3. RSA 算法 实例 
例 2-5 用 两 个 小 素数 101 和 113 来 建立 一 个 简单 的 RSA 算法 。 
CD 选择 两 个 素数 p—101 fI q—113. 
Q 计算 得 n=pXg=11413,$(n)=(p 一 1)X(g 一 1)==100X102==11200。 
© 选择 一 个 随机 整数 e=3533.e>1 且 小 于 $(nw) 并 且 与 $(n) 互 质 。 
QD RHH & ,使 得 de=1 mod 11200 H. d—11200 . JI AboR 4. &=6597, 因 为 6597X3533 一 
2081X11 200 十 1。 
I 在 一 个 目录 中 公开 mm 二 11413 和 e 王 3533 , 现 假设 J 想 发 送 明文 9726 给 I. 
@ S=9726, 计 算 9276 Ex 11413 的 3533 KF, S —92769*9 mod 11 413 王 5761。 即 密 文 
C—5761, 
© 接收 方 收 到 密 文 5761 后 ,计算 5761 BE 11 413 的 6597 WF: S =C =5761® mod 
11 413 得 到 明文 9726, 


2.3.3 ”对 称 与 非 对 称 密 钥 加 密 


非 对 称 密 钥 加 密 ( 用 接收 方 的 公 钥 进行 加 密 ) 解 决 了 密 钥 协定 与 密 钥 交换 问题 ,但 并 没 
有 解决 实际 安全 结构 中 的 所 有 问题 。 具 体 地 说 ,对 称 与 非 对 称 密 钥 加 密 还 有 其 他 一 些 差 别 ， 
各 有 所 长 。 下 面 总 结 一 下 这 些 技 术 的 实际 用 法 。 

R 2-6 显示 了 对 称 与 非 对 称 密 钥 加 密 各 有 所 长 ,也 都 有 需要 改进 的 问题 。 非 对 称 密 钥 
加 密 解 决 了 伸缩 性 和 密 钥 协定 与 密 钥 交换 问题 ,但 速度 慢 ,而 且 产生 比 对 称 密 钥 加 密 更 大 的 
密 文 块 (因为 使 用 的 密 钥 比 对 称 密 钥 加 密 大 ,算法 更 复杂 )。 

一 种 优秀 .安全 的 加 密 机 制 ,应 该 达到 下 列 目标 : 

t 解决 方案 完全 安全 。 

* 加 解密 速度 快 。 

。 生成 的 密 文 长 度 要 小 。 

。 伸缩 性 要 好 ,不 能 引入 更 多 复杂 性 。 

。 要 解决 密 钥 交换 问题 。 
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表 2-6 对称 与 非 对 称 密 钥 加 密 


特征 对 称 密 钥 加 密 非 对 称 密 钥 加 密 
加 密 / 解 密使 用 的 密 钥 | 加 密 /解密 使 用 的 密 钥 相同 加 密 /解密 使 用 的 密 钥 不 同 
加 密 /解密 速度 D 慢 
得 到 的 密 文 长 度 通常 等 于 或 小 于 明文 长 度 大 于 明文 长 度 
密 铀 协定 与 密 钥 交换 。 | 大 问题 没 问题 
所 需 密 铀 数 与 消息 交 | 大 约 为 参与 者 个 数 的 平方 ,因此 伸缩 | 等 于 参与 者 个 数 ,因此 伟 缩 性 好 
换 性 性 不 好 

主要 用 于 加 密 /解密 (保密 性 ) ,不 能 用 | 可 以 用 于 加 密 /解密 (保密 性 ) 和 用 于 

参考 个 数 的 关系 用 法 | 于 数字 签名 (完整 性 与 不 可 抵赖 检查 ) | 数字 签名 (完整 性 和 不 可 抵 灶 检 查 ) 


从 前 面 的 分 析 可 知 ,对称 与 非 对 称 密码 体制 各 有 优 缺 点 。 故 实际 中 ,通常 把 对 称 与 非 对 
称 密 钥 加 密 结合 起 来 ,以 提供 高 效 的 安全 方案 : 

(1) 发 送 方 利用 对 称 密 钥 加 密 算法 加 密 明文 消息 ,产生 密 文 消息 。 这 个 操作 使 用 的 密 
钥 称 为 一 次 性 对 称 密 钥 。 

(2) 发 送 方 用 接收 方 的 公 钥 加 密 该 一 次 性 对 称 密 钥 ,这 个 过 程 称 为 对 称 密 钥 的 密 钥 
(3) 发 送 方 把 密 文 和 加 密 的 对 称 密 钥 一 起 放 在 数字 信封 中 ,并 把 该 数字 信封 发 给 接 
收 方 。 

(4) 接收 方 收 到 数字 信封 后 ,打开 信封 (里 面包 含 发 送 方 要 传送 的 密 文 和 加 密 的 对 称 密 
钥 ), 用 自己 的 私 钥 解 密 已 加 密 的 对 称 密 钥 ,从 而 取得 一 次 性 对 称 密 钥 。 

(5) 接收 方 用 该 一 次 性 对 称 密 钥 解密 密 文 ,从 而 取得 明文 。 

这 种 方法 结合 了 对 称 与 非 对 称 密码 体制 的 优 缺 点 ,十 分 高 效 ,保密 性 很 高 。 然 而 , 非 对 
称 密码 体制 一 样 会 出 现 公 钥 交换 问题 。 前 面 ,我们 假设 发 送 方 知道 接收 方 的 公 钥 ,接收 方 也 
知道 发 送 方 的 公 钥 。 如 果 也 使 用 Diffie-Hellman 密 钥 交换 协议 ,一 样 会 受到 中 间 人 攻击 ,从 
而 使 得 到 的 公 钥 未 必 就 是 对 方 的 真实 公 钥 ,而 是 有 人 伪造 的 公 钥 。 为 此 ,可 以 使 用 数字 证 
书 , 利 用 公 钥 基础 设施 技术 来 解决 公 钥 交换 问题 。 


2.4 认证 理论 与 技术 


2.4.1 单 向 Hash 函数 


Hash 函数 长 期 以 来 一 直 在 计算 机 科学 中 使 用 ,无 论 从 数学 上 或 别 的 角度 看 ,Hash PR 
数 就 是 把 可 变 输 入 长 度 串 ( 称 为 预 映 射 , 即 Pre-image) 转 换 成 固定 长 度 ( 经 常 更 短 ) 输 出 串 
( 称 为 Hash 值 ) 的 一 种 函数 。 简 单 的 Hash 函数 就 是 对 预 映 射 的 处 理 ,并且 返回 由 所 有 输入 
字 节 异 或 组 成 的 一 个 字 节 。 

关键 的 问题 是 采集 预 映射 的 指纹 产生 一 个 值 ,这 个 值 能 够 指出 候选 预 映射 是 否 与 真实 
的 预 映射 有 相同 的 值 。 因 为 Hash. 隐 数 是 典型 的 多 到 一 的 函数 ,不 能 用 它们 来 确定 两 个 串 
一 定 相 同 , 但 可 用 它 来 得 到 准确 性 的 合理 保证 。 

单 向 Hash 函数 是 在 一 个 方向 上 工作 的 Hash 函数 ,从 预 映射 的 值 很 容易 计算 其 Hash 
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值 , 但 要 产生 一 个 预 映 射 的 值 使 其 Hash 值 等 于 一 个 特殊 值 却 是 很 难 的 。 前 面 提 到 的 Hash 
函数 不 是 单 向 函数 : 已 知 一 个 特殊 的 字 节 值 , 要 产生 一 个 字 节 串 使 它 的 异 或 结果 等 于 那个 
值 是 很 容易 的 事情 。 用 单 向 Hash 函数 不 可 能 那样 做 。 好 的 Hash 函数 也 是 无 冲突 的 : 难 
于 产生 两 个 预 映射 的 值 , 使 它们 的 Hash 值 相同 。 

Hash 函数 是 公开 的 ,对 处 理 过 程 不 保密 。 单 向 Hash 函数 的 安全 性 是 它 的 单 向 性 。 无 
论 怎么 看 ,输出 不 依赖 于 输入 。 预 映射 的 值 的 单个 比特 的 改变 ,平均 而 言 ,将 引起 Hash 值 
中 一 半 的 位 改变 。 已 知 一 个 Hash 值 ,要 找到 预 映射 的 值 ,使 它 的 Hash 值 等 于 已 知 的 Hash 
值 在 计算 上 是 不 可 行 的 。 

单 向 Hash 函数 可 以 看 做 是 构成 指纹 文件 的 一 种 方法 。 如 果 你 想 验 证 某 人 持 有 一 特定 
的 文件 (你 同时 也 持 有 该 文件 ) ,但 你 并 不 想 让 他 将 文件 传 给 你 ,那么 ,就 要 求 他 将 该 文件 的 
单 向 Hash 值 传 送 给 你 ,如 果 他 传送 的 Hash 值 是 正确 的 ,那么 几乎 可 以 肯定 地 说 他 持 有 那 
份 文件 。 


2.4.2 MDS 算法 


MD5(Message Digest) 算 法 (RFC1321) 是 20 世纪 90 年 代 由 Rivest 所 设计 的 散 列 函数 
算法 。 其 中 MD 表示 消息 摘要 ,又 称 报 文摘 要 。 

MD5 不 基于 任何 密码 体制 , 它 是 直接 构造 压缩 函数 与 迭代 。 

下 面 给 出 MD5 算法 的 具体 描述 。 

MD5 算法 将 任意 长 度 的 消息 m 作为 输入 ,其 散 列 值 为 128 比特 。 


512 比 特 第 一 步 : 将 报 文 m 分 组 ,填充 尾部 的 比特 数目 。 
i | 假设 六 是 任意 的 明文 消息 ,将 六 分 成 ! AAD mi» 
1000 01 "7979 | 使 每 一 分 块 的 长 度 为 512 比特 。 在 最 后 一 个 分 组 


1 
448 比 特 m; 的 末尾 的 64 比特 上 填充 报 文 的 比特 数 ( 二 进 制 


图 2-5 最 后 一 个 分 组 mu Aero ,如 图 2-5 所 示 。 
HRX m 的 长 度 为 n(n 二 nn63 eno s ,no 是 的 
二 进 制 表示 ), 即 : 
m 一 Mmmm 
其 中 mr;(i 二 1,…, 人 ) 是 m 的 一 个 分 组 。 则 在 最 后 一 个 分 组 m; 的 末 位 作 如 下 填充 。 
填充 方法 是 在 消息 的 最 后 一 个 分 组 的 尾部 附加 一 个 1, 后 接 若干 个 0, 即 使 消息 的 长 度 
填充 前 已 满足 条 件 , 则 附加 填充 总 是 需要 的 。 特 别 地 , 当 明 文 消息 m 的 长 度 二 2 时 ,那么 仅 
仅 使 用 低 64 比特 填充 ,附加 到 最 后 一 个 分 组 mm 的 末尾 。 
第 一 步 : 是 预 处 理 过 程 , 使 明文 消息 长 度 恰 好 是 512 比特 的 整数 倍 , 即 /个 分 组 1， 
mom, FAKER 512 比特 。 
第 二 步 : 设计 数列 迭代 值 的 4 个 缓存 器 ALBLC 和 D。 每 个 缓存 器 的 长 度 为 32 比特 ， 
id 58 — GEI BO h;CAB.C.D03E 128 比特 ,迭代 初 值 i=0 时 ,缓存 器 A,B,C RID 的 状 
态 如 下 (以 十 六 进 制 表 示 ) : 
Ao = 01234567 
B, = 89ABCDEF 
Co = FEDCBA98 
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D, — 76543210 
其 中 每 一 位 都 是 4 比特 , 即 : 
0=0000 1=0001 2=0010 3= 0011 
4 一 0100 5—0101 6—0110 7— 0111 
8—1000 9= 1001 A-1010 B-1011 
C—i100 D-—i10] E= ile F= imi 
缓存 器 主要 用 来 存放 MD5 的 中 间 值 及 最 后 结果 。 
第 三 步 : 设计 散 列 迭代 
hi= füiumos. 413,59 
这 里 的 了 称 为 MD5 的 压缩 函数 ,输入 hi LA BLC.D]2g 128 比特 ,mi 29 512 比特 , 输 
出 的 第 三 次 迭代 值 h;[A,B,C,Dj 为 128 比特 。 
将 512 比特 的 分 组 报 文 再 分 成 16 个 小 的 分 组 ,每 个 小 组 的 长 度 为 32 比特 , 记 为 ， 
N[0]N(1]--- N[15] 
分 别 与 w-~i[LA,B,C,D] 的 各 个 缓存 器 (32 比特 ) 作 4 轮 变换 ,这 4 轮 变 换 分 别 记 为 下 、 
G、H 和 了 ,如 图 2-6 所 示 。 
图 中 四 表示 模 2 的 加 法 运算 ,每 一 轮 变换 对 应 一 个 非 线 性 逻辑 函数 ,分 别 记 为 ; 
gs B.C, D) ge (B.C.D) .ga(B,C,D) 和 srCB,C,D) 。 
运算 式 按 位 操作 : 用 a、b、c 和 d 分 别 记 A,B,C 和 DD 中 同一 位 的 比特 值 (0 或 1), 如 
图 2-7 所 示 。 


NIOIN[1] ---ML15] 本 
hia Pd i i N hy Mf 


^ - =i A A| 1241 32 比 特 
B -| F G ~ H I Mi © B B: EUN 
c lue £r | 轮 | -| 轮 | -| 轮 P 5 [ors 
D - - D C: iel 
Hi | =m 
D: 1d | 

图 2-6 4 轮 变 换 图 2-7 同一 位 的 比特 值 

定义 4 AP HER TEE HE PRU : 


gg — AO VGAdD 
Eo — Ad) NC A aD 
gu — bcd 
gi—cOova) 
EP, ORRA RZA., 人 表示 与 运算 , V 表示 或 运算 ,一 表示 非 运算 ,其 真 值 表 如 
表 2-7 所 示 。 
定义 数组 T[ 门 ,i 二 1,2,… ,64, 每 个 长 度 为 32 比特 ,由 8 位 (每 一 位 4 比特 ) 组 成 : TC] 
2? |SinG) | 的 整数 部 分 ,i 的 单位 为 弧度 。 上 表 给 出 了 具体 的 计算 结果 。 
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表 2-7 RAR 
b € d BF Ec Eu Er 
0 0 0 0 0 0 1 
0 0 1 1 0 1 0 
0 1 0 0 1 1 0 
0 1 1 E 0 0 1 
1 0 0 0 0 1 i] 
1 0 1 0 1 0 1 
1 0 1 0 0 
1 I 1 1 1 1 0 


定义 移 位 操作 二 二 二 S 表示 长 度 为 32 比特 的 数 循环 左 移 S 位 ,二 二 二 S 则 表示 长 度 为 
128 比特 的 数 循环 右 移 S 位 。 

上 面 定义 的 4 个 非 线 性 逻辑 函数 ,由 三 角 函 数 Sin O^ "ERI PRÉC TU) ACRES DEA IE 
二 二 二 S, 二 5, 在 每 一 轮 变换 中 都 对 i 二 0,1,…,15 进行 操作 ,共计 16 次 。 图 2-8 给 出 
了 在 一 轮 中 的 第 i 此 操作 的 示意 图 。 


NUI TUI 


i t 


+ H + H + Fe <<<5, --] 


在 一 轮 中 g 
的 逻辑 函数 


图 2-8 在 一 轮 中 的 第 i 次 操作 示意 图 


oc|o|-s|- 


图 2-8 rp f j 是 :的 函数 ,可 见 下 面 的 具体 说 明 。 完 成 上 面 的 主 操作 后 ,还 要 将 A,B， 
C,D 的 级 联 作 循 环 右 移 32 位 ,所 以 对 于 一 个 具体 的 轮 g(B,C.D) 第 i 步 (i=0,1,2,…,15) 
的 操作 如 下 : 

(OD A-—B-- CA gCB.C.D) - N[j]- TLj D <<<s,; 

(2) ABCD--CABCD) 22 32 

四 轮 F`G HI 按 顺 序 运 算 , 共 进 行 64 次 操作 。 设 压缩 函数 的 输入 值 hi- 8 F ABCD 
中 , 则 经 64 次 操作 后 ABCD 的 输出 值 hi ARRE 2” 相 加 便 是 h; 的 值 : 

hi — hi + ABCD 
每 次 操作 的 NGUL TUS; 不 但 依赖 于 i 且 跟 轮 有 关系 ,具体 规定 如 下 。 
FÉ: 
NG] = NlaXG a0 = i 
TUj] — TLi] 
S; = S, G) = 7 4- SiC mod 4) 
G 轮 : 
NỌ] = Ne (i)], o3 CD = (1+5i)(mod 16) 
TO] = T[17 +i] 
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S; = $,G) = 5 + 4i, + [317] 
XE i, —i(mod 4) [zx] 表示 x 的 整数 部 分 。 
H#: 
NỌ] = N[ps (2)], pG) = (5 + 3i) (mod 16) 
TẸ] = T[33 +i] 
S; = S; (i) = 4 * 4571 +7 (i (mod 2)) 
HP i =ilmod 4) 。 
I 轮 : 
NÇ] = N[p C2)], oC) = 7i(mod 16) 
TLj] = T[49 + i] 
S; = S. (i) = 6 + 4i + [357*] 
Hp ii =ilmod D, 
消息 m 的 散 列 函数 MD5 算法 流程 : 
ABCD--A, Bo Co Do 
k—1.2,.4 
N[0]N[1]-- N[15 ] 77, 
h*- ABCD 
1. 了 轮 运算 步骤 
DE EE 
(OD p (Di 
(2) j*-i( mod 4) 
S, G)«7-4-5j 
(3) u—1,.2,--,32 
h,— (bu NN ©, Ada) 
(4) ge Uso shast shi) 
(5) A A-c ge NL GO ]-- TLi--1]D;  — 8i G) +B 
(6) ABCD-- ABCD» 2732 
2. G 轮 运算 步骤 
i 一 0,1,…,15 
(1) oz(D<(C1 二 5i)Cmod 16) 
(2) j<i(mod 4) 
S, Gi) -5-- 4j +[3 =] 
(3) wx 一 1,2,…,32 
h,— G, Nc) V GOLA d) 
(4) ga 7 Css hai stth) 
(5) AA go - NLo; C) ]- TL37 - i] — — S; (GD 十 B 
(6) ABCD-- ABCD 7732 
3. H 轮 运 算 步 又 
i=0,1,.…,15 
COD es G7 (5 -- 3i) (mod 16) 
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(2) j*-i(mod 4) 
S; (G)4 * 4[j/2]9-7 * (j (mod 2)) 
(3) u=1,2,.… ,32 
hu = Gc, Od.) 
(4) gu Chs shai shi) 
(5) A-—A-F gy NLo CO ]9- TL 33 i ] S; G) +B 
(6) ABCD- ABCD>> >32 
4. 工 轮 运算 步骤 
zi 一 0,1,…，15 
CD p, G)*-7i(mod 16) 
(2) j--i( mod 4) 
S, G) 6+4; T [3] 
(3) u=1,2,.…,32 


h, =D ODd) 

(4) gir Gao shz s shi) 

(5) AA +g +N[[o (i) ]+T[49+i]<<<S, (i) 

(6) ABCD-- ABCD» 732 

(对 第 一 个 & 完 成 F,G,H,I 四 轮 的 变换 ABCD< /十 ABCD) 

k 循环 下 去 ,直到 结束 

MD5<-ABCD 

其 中 的 加 号 十 运算 式 是 对 模 2 定义 的 。 

关于 MD5 的 安全 性 分 析 , 目前 是 基于 对 MD5 的 穷 举 攻击 。Rivest 在 RFC1321 中 推 
测 ,MD5 作为 128 比特 的 消息 摘要 是 足够 的 。 他 指出 ,如 果 给 出 两 个 具有 相同 消息 摘要 的 
报 文 将 需要 2%“ 数 量 级 的 操作 ;而 要 寻找 消息 摘要 与 指定 值 相等 的 报 文 ,将 需要 2 和 ”数量 级 
的 操作 。 到 现在 ,暂时 还 没有 人 推翻 Rivest 的 猜想 。 安 全 散 列 函数 (SHA) 是 由 美国 国家 标 
准 技术 研究 所 (NIST) 提 出 ,并 作为 联邦 信息 处 理 标 准 (FIPS PUB 180) 在 1993 年 公布 ; 
1995 年 又 发 布 了 一 个 修订 版 FIPS PUB 180-1, 通 常 称 之 为 SHA-1。SHA 是 基于 MD4 $$ 
法 的 ,并 且 它 的 设计 在 很 大 程度 上 是 模仿 MD4 的 。 


2.5 身份 认证 技术 


1. 身份 认证 的 概念 

身份 认证 是 指 如 何 确认 信息 网 站 系统 用 户 的 身份 用户 的 身份 如 何 管理 .身份 信息 如 何 

2. 认证 技术 

1) 身份 验证 技术 

身份 识别 Cidentification) 是 指 用 户 向 系统 出 示 自 己 的 身份 证 明 的 过 程 。 身 份 认 证 
(authentication) 是 系统 查核 用 户 的 身份 证 明 的 过 程 ,实质 上 是 查 明 用 户 是 否 具有 他 请 求 资 
源 的 存储 和 使 用 权 。 人 们 常 把 身份 识别 和 身份 认证 这 两 项 工作 统称 为 身份 验证 ,是 判明 和 
确认 通信 双方 真实 身份 的 两 个 重要 环节 。 
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单机 状态 下 的 身份 认证 概括 起 来 有 三 种 : 根据 人 体 生 物 特 征 进行 身份 认证 ,根据 约定 
的 口令 等 进行 身份 认证 和 根据 硬件 设备 进行 身份 认证 。 

CD 根据 人 体 生物 特征 进行 身份 认证 。 这 种 方式 是 指 通 过 计算 机 ,利用 人 体 所 固有 的 
生理 特征 或 行为 特征 进行 个 人 身份 鉴定 。 与 传统 的 身份 鉴定 手段 相 比 ,基于 生物 特征 识别 
的 认证 技术 具有 以 下 优点 : 一 是 不 易 遗 忘 或 丢失 ;二 是 防伪 性 能 好 ,不 易 伪 造 或 被 盗 : 三 是 
“随身 携带 ”, 随 时 随地 可 用 。 能 够 用 来 鉴别 身份 的 生物 特征 应 具有 广泛 性 (每 个 人 都 应 该 具 
有 这 种 特征 ) \ 唯 一 性 (每 个 人 拥有 的 特征 应 各 不 相同 ) 、 稳 定性 (所 选择 的 特征 应 该 不 随时 间 
变化 而 发 生变 化 ) 和 可 采集 性 (所 选择 的 特征 应 该 便于 测量 ) 。 目 前 ,一 些 用 于 身份 鉴别 的 生 
物 统计 特征 主要 有 声 纹 ,指纹 , 脸 像 .眼球 虹膜 .笔迹 ` 步 态 .红外 温 谱 图 等 。 另 外 还 有 一 些 生 
物 特征 可 以 用 于 身份 鉴别 ,包括 耳 形 .DNA ,视网膜 、 手 形 、 掌 纹 、 体 味 、 足 迹 等 。 

(2) 根据 约定 的 口令 进行 身份 认证 。 口 令 认证 必须 具备 一 个 前 提 : 请 求 认证 者 必须 具 
有 一 个 识别 标识 (1D) ,该 识别 标识 必须 在 认证 者 的 用 户 数 据 库 (该 数据 库 必 须 包 括 ID 和 口 
令 ) 中 是 唯一 的 。 同 时 ,为 了 保证 认证 的 有 效 性 必须 考虑 以 下 问题 : 

CD 请 求 认证 者 的 口令 必须 是 安全 的 , 即 满足 口令 只 能 允许 相应 ID 的 请 求 认证 者 知道 ， 
在 认证 者 系统 中 必须 保证 口令 的 使 用 和 存储 是 安全 的 。 

© 在 认证 的 过 程 中 ,必须 保证 口令 的 传输 是 安全 的 , 即 在 传输 过 程 中 ,口令 不 能 被 窍 


T A. 
© 请 求 认证 者 在 向 认证 者 请 求 认证 前 ,必须 确认 认证 者 的 真实 身份 。 和 否则 会 把 口令 发 
给 冒充 的 认证 者 。 


使 用 口令 的 单 向 身份 认证 流程 如 下 : 

CD 请 求 认 证 者 和 认证 者 之 间作 认证 初始 化 ,可 在 该 过 程 中 实现 建立 安全 连接 ,确认 认 
证 者 身份 等 (此 步骤 是 可 选 的 ) 。 

© 请 求 认 证 者 向 认证 者 发 送 认 证 请 求 , 认 证 请 求 中 必须 包括 请 求 认证 者 的 ID 和 口令 。 

© 认证 者 接收 ID 和 口令 ,在 用 户 数据 库 中 找 出 请 求 认证 的 ID 和 口令 ( 若 找 不 到 相应 
的 ID, 则 跳 过 步骤 四 ) 。 

© 认证 者 比较 两 口令 是 否 相 同 。 

© 认证 者 向 请 求 认证 者 发 回 认证 结果 ,请 求 认 证 者 接收 认证 结果 (此 步骤 是 可 选 的 ) 。 

请 求 认证 者 的 身份 确认 必须 满足 下 面 两 个 条 件 : 一 是 请 求 认证 者 的 ID 必须 在 认证 者 
的 用 户 数据 库 中 ;二 是 请 求 认证 者 发 送 的 口令 与 数据 库 中 的 口令 相同 。 

G) 硬件 设备 进行 身份 认证 。 目 前 ,硬件 设备 身份 认证 大 多 采用 卡 式 认 证 方式 。 卡 式 
认证 最 早 采用 磁卡 。 磁 卡 中 最 重要 的 部 分 是 磁道 ,不 仅 存储 着 数据 ,而且 也 存储 着 用 户 的 身 
份 信息 。 一 般 情 况 下 ,磁卡 与 个 人 PIN 一 起 使 用 。 在 脱 机 系统 中 ,PIN 以 加 密 的 形式 存在 
磁卡 中 ,识别 设备 读 出 卡 中 的 身份 信息 .然后 将 其 中 的 PIN 解密 ,与 用 户 输入 的 PIN 比较 ， 
以 决定 磁卡 持 有 者 是 否 合法 。 在 联机 系统 中 .PIN 通常 不 存在 磁卡 上 ,而 存在 主机 系统 中 ， 
在 鉴别 时 ,系统 将 用 户 输入 的 PIN 与 主机 中 的 PIN 比较 ,由 此 判断 其 身份 。 

2) 数据 签名 技术 

数据 签名 (或 称 电子 签名 ) 是 公开 密 钥 加 密 技术 的 一 种 应 用 。 其 使 用 方式 是 : 报 文 的 发 
送 方 从 报 文 文本 中 生成 一 个 128 位 的 单 向 散 列 值 ( 即 Hash. 函数 根据 报 文 文本 而 产生 的 具 
有 固定 长 度 的 单 向 Hash 值 ) ,有 时 这 个 单 向 散 列 值 也 叫做 报 文 摘要 , 它 与 报 文 文本 的 数字 


网 络 安全 技术 


40 


指纹 或 标准 校 验 和 相似 。 

发 送 方 用 自己 的 专用 密 钥 对 这 个 散 列 值 进行 加 密 来 形成 发 送 方 的 数字 签名 ,这 个 数字 
签名 将 作为 报 文 的 附件 和 报 文 一 起 发 送 给 报 文 的 接收 方 。 报 文 的 接收 方 首先 从 接收 到 的 原 
始 报 文中 计算 出 128 位 的 散 列 值 ,接着 再 用 发 送 方 的 公开 密 钥 来 对 报 文 附加 的 数字 签名 进 
行 解密 。 如 果 两 个 散 列 值 相同 ,那么 接收 方 就 能 确认 该 数字 签名 是 发 送 方 的 。 通 过 数字 签 
名 能 够 实现 对 原始 报 文 的 鉴别 和 不 可 抵赖 性 。 

数字 签名 机 制 提供 了 一 种 鉴别 方法 ,普遍 应 用 于 银行 ,电子 贸易 等 ,以 解决 以 下 问题 ; 

(D 伪造 : 接收 者 伪造 一 份 文件 ,声称 是 对 方 发 送 的 。 

© 抵赖 : 发 送 者 或 接收 者 事后 不 承认 自己 发 送 或 接收 过 文件 。 

@ 冒充 : 网 上 的 某 个 用 户 胃 充 另 一 个 用 户 发 送 或 接收 文件 。 

CD 算 改 : 接收 者 对 收 到 的 文件 进行 局 部 的 自 改 。 

3) 公开 密 钥 证 明 

公开 密 钥 的 证 明 有 时 也 称 做 "数字 ID?“ 数 字 证 明 ? 或 “数字 护照 >。 如 果 甲 和 乙 通过 
Internet 获得 各 自 的 公开 密 钥 ,他 们 需要 对 这 些 密 钥 进行 认证 , 甲 不 能 简单 地 向 乙 询问 其 公 
开 密 钥 , 因 为 在 网 络 上 可 能 存在 第 三 者 截获 甲 的 请 求 ,并 发 送 它 自 己 的 公开 密 钥 ,如 此 第 三 
者 可 以 阅读 甲 传送 给 乙 的 所 有 消息 。 因 此 ,需要 一 个 第 三 方 的 认证 机 构 (Certificate 
Authority CA) ,使 甲 即 使 是 通过 不 安全 的 通信 渠道 ,也 能 够 借助 它 可 靠 地 获取 乙 的 公开 密 
H. CA 为 乙 的 公开 密 钥 生 成 一 个 证 书 (Certificate) ,也 称 为 数字 签名 。 证 书 一 般 包括 一 个 
公 钥 及 其 有 效 期 .姓名 ,发 证 机 构 .序列 号 和 发 证 者 的 数字 签名 。 任 何人 都 可 以 获取 乙 的 公 
开 密 钥 ,并 利用 该 证 书 作为 验证 公开 密 钥 的 根据 。 

在 网 络 上 ,证 书 的 作用 就 像 公民 的 护照 .司机 的 驾驶 执照 ,学 生 的 学 生 证 ,网 上 的 某 些 服 
务 仅 对 持 有 证 书 的 用 户 提供 服务 。 

使 用 公开 密 钥 签名 算法 的 身份 认证 必须 具有 以 下 前 提 : 

CD 请 求 认证 者 必须 具有 使 用 私 钥 实现 数字 签名 的 功能 。 

@ 认证 者 必须 具有 使 用 公 钥 验证 数字 签名 的 功能 。 

© 认证 者 必须 具有 产生 随机 数 的 功能 ,而 且 随 机 数 的 质量 必须 达到 一 定 要 求 。 

(D 用 于 实现 数字 签名 和 验证 数字 签名 的 密 钥 对 必须 与 进行 认证 的 一 方 唯一 对 应 。 

用 于 数字 签名 的 私 钥 的 保密 性 和 用 于 验证 数字 签名 的 公 钥 的 安全 分 发 是 保证 认证 有 效 
的 重要 因素 。 公 钥 的 分 发 可 采用 以 下 方式 : 使 用 公 钥 数据 库 方式 ,使 用 证 书 认证 中 心 签发 
数字 证 书 的 方式 。 请 求 认证 者 的 公 钥 可 由 两 个 方式 获得 : 一 是 对 于 使 用 公 钥 数据 库 的 方 
式 , 请 求 认证 者 ID 必须 包含 在 认证 响应 中 发 送 给 认证 者 ,认证 者 使 用 该 ID 从 公 钥 数据 库 中 
获得 请 求 认 证 者 的 公 钥 ;二 是 对 于 使 用 证 书 认证 中 心 签 发 数字 证 书 的 方式 ,认证 者 必须 信任 
签发 证 书 给 请 求 认证 者 的 证 书 认 证 中 心 ,请求 认 证 者 的 数字 证 书 必须 发 送 给 认证 者 ,认证 者 
检验 请 求 认证 者 数字 证 书后 ,从 数字 证 书 中 获取 请 求 认证 者 的 公 钥 。 


2.6 数字 取证 技术 


数字 取证 技术 是 指 在 计算 机 或 其 他 数字 设备 取证 的 整个 过 程 中 ,在 相关 理论 的 指导 下 ， 
使 用 合法 的 、 合 理 的 、 规 范 的 技术 或 手段 ,以 保证 计算 机 或 其 他 数字 设备 取证 的 正确 进行 ,以 
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及 合理 信服 的 结论 的 产生 。 数 字 取 证 技术 主要 涉及 计算 机 证 据 获 取 、 分 析 、 保 管 . 呈 堂 ( 呈 
示 ), 从 不 同 的 角度 可 分 为 不 同 的 类 。 

1. 从 案件 发 展 的 角度 出 发 

数字 证 据 根据 不 同 的 侦查 阶段 可 分 为 数据 获取 技术 、 数 据 分 析 技 术 、 计 算 机 犯罪 分 析 ， 
侦查 进展 阶段 的 不 同 ,需要 的 分 析 技 术 不 同 。 

2. 从 取证 过 程 的 角度 出 发 

数字 取证 技术 从 取证 过 程 的 角度 可 分 为 物理 证 据 获取 技术 和 信息 发 现 技术 。 电 子 证 据 
及 其 他 非 证 据 的 信息 数据 的 存储 离 不 开 物 理 介 质 载体 ,我 们 要 想得到 存储 在 其 上 的 电子 证 
据 , 首 先 就 要 对 这 些 介质 载体 进行 获取 和 保存 ,也 就 是 对 物理 证 据 的 获取 和 保存 。 物 理 证 据 
包括 计算 机 的 磁盘 防火 墙 、 交 换 机、 路 由 器 的 磁盘 等 。 对 这 些 物理 证 据 的 获取 和 保存 可 以 
使 用 普通 物理 证 据 的 获取 和 保存 技术 ,但 同时 要 考虑 这 些 物 理 介质 所 存储 证 据 的 特殊 性 ,还 
要 采取 确保 证 据 安全 性 的 技术 措施 ,如 防震 、 防 磁 、 防 潮 等 技术 。 

信息 发 现 是 指 对 物理 证 据 上 保存 的 0/1 二 进 制 数 字 信 息 进 行 识 别 、 检 查 、 分 析 的 过 程 ， 
识别 出 哪些 信息 是 与 案件 相关 的 电子 证 据 , 并 对 有 用 的 电子 证 据 进行 检查 和 分 析 , 最 后 得 出 
分 析 结 论 作 为 呈 堂 证 供 。 在 信息 发 现 过 程 中 ,所 做 的 工作 主要 是 对 数字 信息 的 识别 .检查 和 
分 析 , 所 涉及 的 技术 主要 是 识别 类 、 检 查 类 和 分 析 类 的 技术 ,如 数据 复原 技术 .对 比 搜索 技 
术 ,数据 挖掘 技术 等 。 

3. 从 取证 对 象 的 角度 出 发 

从 取证 对 象 的 角度 看 ,数字 取证 技术 可 分 为 基于 主机 的 取证 技术 和 基于 网 络 的 取证 技术 。 

基于 主机 的 取证 是 指 取 证 对 象 存储 于 主机 之 中 ,电子 证 据 主 要 来 源 于 两 个 方面 : 一 是 
主机 操作 系统 和 磁盘 介质 ,如 系统 日 志文 件 、 备 份 介质 、 入 侵 者 残留 物 、 交 换 区 文件 ,临时 文 
件 \ 硬 盘 未 分 配 空间 、 系 统 缓 冲 区 等 ;二 是 安装 在 主机 上 的 应 用 软件 ,如 网 络 管理 软件 、 第 三 
方 日 志 软 件 等 。 在 基于 主机 的 取证 过 程 中 ,取证 工作 者 可 使 用 诸如 数据 恢复 技术 ,隐藏 数据 
的 再 现 技术 ,加密 数据 的 解密 技术 ,数据 挖掘 技术 ,原始 二 进 制 的 映像 复制 及 分 析 、 对 比分 析 
与 关键 字 查询 ,文件 特征 分 析 、 残 留 数 据 分 析 、Slack 空间 的 数据 分 析 等 取证 技术 , 尽 可 能 地 
将 主机 和 人 侵 的 过 程 呈 现 。 

基于 网 络 的 取证 目的 在 于 尽 可 能 真实 地 恢复 过 去 发 生 网 络 人 侵 事 件 的 “现场 ”。 在 取证 
过 程 中 ,作出 最 后 判断 之 前 应 将 各 种 可 能 得 到 的 信息 关联 起 来 。 所 谓 网 络 取证 技术 ,就 是 在 
网 上 跟踪 犯罪 嫌疑 人 或 通过 网 络 通信 的 数据 信息 资料 获取 证 据 的 技术 。 取 证 对 象 的 主要 来 
源 是 通过 网 络 段 上 传输 的 网 络 通信 流 采集 ;借助 于 网 络 设备 ,如 服务 器 交换机、 路 由 器 等 ; 
结合 网 络 安全 产品 ,如 防火 墙 \ 入 侵 检测 系统 、 网 络 扫描 器 等 。 通 过 这 些 设备 或 产品 产生 的 
记录 和 日 志 往 往 能 挖掘 出 重要 的 入 侵 的 作案 证 据 。 由 于 网 络 取证 的 关联 性 比较 强 , 可 采用 
数据 挖掘 关联 规则 统计 分 析 等 技术 。 其 他 的 网 络 取 证 技术 ,如 IP 地 址 和 MAC 地 址 的 获 
取 和 识别 技术 、 身 份 认证 技术 、 电 子 邮 件 的 取证 和 鉴定 技术 、 网 络 侦 听 和 监视 技术 、 漏 洞 扫 描 
等 技术 也 是 必 不 可 少 的 。 

4. 从 取证 技术 使 用 的 角度 出 发 

从 取证 技术 使 用 的 角度 看 .根据 DFRWS 框架 ,取证 技术 可 以 分 成 以 下 六 大 类 : 

1) 识别 类 (identification class) 

判定 可 能 与 断言 (allegation) 或 与 突 发 事件 时 间 相关 的 项 目 (items) ,成 份 (components) 
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和 数据 。 其 中 可 能 使 用 到 的 典型 技术 有 事件 /犯罪 检测 (Event/Crime detection) ,签名 处 理 
(resolve signature) .配置 检测 (profile detection)、 误 用 检测 (anomalous detection)、 系 统 监 
ill (system monitoring) 以 及 审计 分 析 (audit analysis) 等 。 

2) 保存 类 (preservation class) 

保证 证 据 状态 的 完整 性 。 该 类 技术 处 理 那 些 与 证 据 管理 相关 的 元 素 。 其 中 可 能 使 用 到 
的 典型 技术 有 镜像 技术 (imaging technologies) 证据 监督 链 (chain of custody) 以 及 时 间 同 
步 (time synchronization) 等 。 

3) 收集 类 (collection class) 

提取 (extracting) 或 捕获 (harvesting) 突 发 事件 的 项 及 其 属性 (或 特征 )。 该 类 技术 为 调 
查 人 员 在 数字 环境 下 获取 证 据 而 使 用 的 特殊 方法 和 产品 相关 。 典 型 技术 有 合适 的 复制 软 
件 、 无 损 压 缩 以 及 数据 恢复 技术 等 。 

4) 检查 类 (examination class) 

对 突 发 事件 的 项 及 其 属性 (或 特征 ) 进 行 仔 细 的 检查 。 该 类 技术 与 证 据 发 现 和 提取 相 
关 , 但 不 涉及 从 证 据 中 得 出 结论 。 收 集 技术 涉及 收集 那些 可 能 含有 证 据 的 数据 ,如 计算 机 介 
质 的 镜像 。 但 检查 技术 则 对 那些 收集 来 的 数据 进行 检查 并 从 中 识别 和 提取 可 能 证 据 。 典 型 
技术 有 追踪 (traceability) ,过 滤 技 术 (filtering techniques) ,模式 匹配 (pattern matching) , [a 
藏 数据 发 现 (hidden data discovery) 以 及 隐藏 数据 提取 (hidden data extraction) 等 。 

5) 分 析 类 (analysis class) 

为 了 获得 结论 而 对 数字 证 据 进行 融合 .关联 和 同化 。 该 类 技术 涉及 对 收集 .发现 和 提取 
的 证 据 进 行 分 析 。 典 型 技术 有 追踪 (traceability)、 统 计 分 析 (statistical)、 协 议 分 析 
(protocols) ,数据 挖掘 (data mining) \ 时 间 链 分 析 (timeline) 以 及 关联 (link) 等 。 必 须 注意 的 
是 ,对 潜在 证 据 进 行 分 析 的 过 程 中 所 使 用 的 技术 的 有 效 性 (validity) 将 直接 影响 到 结论 的 有 
效 性 以 及 据 之 构件 的 证 据 链 的 证 据 能 力 (credibility)。 

6) E% (presentation class? 


客观 、 清 晰 ,准确 地 报告 事实 。 该 类 技术 涉及 将 结论 提交 给 法 庭 的 规范 。 


2.7 密码 学 综合 应 用 实例 


2.7.1 数字 签名 技术 


1. 签名 的 含义 

签名 的 目的 是 使 信息 ( 报 文 ) 的 收 方 能 够 对 公正 的 第 三 者 (双方 事先 一 致 同意 委托 其 解 
决 因 某 一 问题 而 起 的 争执 的 仲裁 者 ) 证 明 其 报 文 内 容 是 真实 的 ,而 且 是 由 指定 的 发 送 方 发 出 
的 。 同 时 ,发 送 方 事后 不 能 根据 自己 的 利益 来 否认 报 文 的 内 容 , 而 且 接 收 方 也 不 能 根据 自己 
的 利益 来 伪造 报 文 的 内 容 。 数 字 签名 是 签名 方 对 信息 内 容 完整 性 的 一 种 承诺 , 它 所 保护 的 
信息 内 容 可 能 会 被 破坏 ,但 不 会 被 欺骗 。 

签名 是 报 文 以 及 发 方 已 知 的 且 收 方 可 验证 的 保密 信息 的 函数 , 它 通 过 同时 具有 上 述 这 
些 信息 的 共同 特征 的 方法 来 实现 无 否认 的 能 力 。 注 意 , 数 字 签名 只 是 使 系统 具有 了 无 否认 
的 能 力 ,而 无 否认 功能 的 实现 需要 另外 的 应 用 系统 支持 ,如 公证 系统 ,或 应 用 系统 中 的 公证 
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功能 。 

2. 数据 签名 的 基本 形式 

对 于 交换 信息 的 A LB 双方 而 言 ,数字 签名 的 最 基本 形式 是 这 个 信息 基于 某 种 特定 的 附 
加 信息 (如 密 钥 或 标识 符 等 ) 的 信息 摘录 。 发 送 方 A 对 发 送 的 报 文 签名 并 随同 报 文 一 起 发 
送 , 以 担保 报 文 的 内 容 , 若 需要 接收 方 B 也 对 报 文 的 内 容 担保 , 则 要 求 B 向 A 返回 一 个 签名 
的 回执 (可 以 是 对 报 文 的 再 签名 ) 。 

基于 公开 密 钥 算法 的 签名 称 为 通用 签名 ,因为 签名 者 使 用 他 的 隐蔽 密 钥 签名 ,所 以 它 可 
被 所 有 可 使 用 签名 者 的 公开 密 钥 的 用 户 验 证 。 为 了 保证 公开 密 钥 的 可 靠 性 ,每 个 签名 方 必 
须 在 一 个 指定 的 登记 处 公布 和 登记 他 的 公开 密 钥 , 例 如 通过 CA。 同 时 ,为 了 解决 争议 问 
题 ,需要 报 文 的 收发 双方 以 及 仲裁 者 共享 有 关 报 文 的 非 保密 的 验证 信息 (如 信息 摘录 )。 发 
生 问 题 或 争议 时 ( 即 双方 出 现 不 一 致 ). 有 仲裁 者 提供 证 据 。 

3. 数字 签名 算法 

1) 数字 签名 算法 的 分 类 

(1) 按 接收 者 验证 签名 的 方式 分 

数字 签名 可 分 为 真 数字 签名 和 仲裁 数字 签名 两 类 。 在 真 数字 签名 中 ,签名 者 直接 把 签 
名 消息 发 送 给 接收 者 ,接收 者 无 须 求助 于 第 三 方 就 能 验证 签名 。 而 在 仲裁 数字 签名 中 ,签名 
者 把 签名 消息 经 由 被 称 作 仲 裁 者 的 可 信 的 第 三 方 发 送 给 接收 者 ,接收 者 不 能 直接 验证 签名 ， 
签名 的 合法 性 是 通过 仲裁 者 作为 媒介 来 保证 。 也 就 是 说 ,接收 者 要 验证 签名 ,必须 与 仲裁 者 
合作 。 

(2) 按 计 算 能 力 分 

数字 签名 可 分 为 无 条 件 安全 的 数字 签名 和 计算 上 安全 的 数字 签名 。 现 有 的 数字 签名 ， 
诸如 RSA 数字 签名 `ELGamal 数字 签名 等 ,大 都 是 计算 上 安全 的 。 所 谓 计算 上 安全 的 数字 
签名 ,是 指 任何 有 足够 计算 能 力 的 伪造 者 总 能 伪造 签名 者 的 签名 。Chaum-Roijakers 数字 
签名 是 第 一 个 无 条 件 安全 的 数字 签名 。 在 理论 上 ,它们 在 许多 应 用 中 能 代替 计算 上 安全 的 
数字 签名 ,但 在 实际 应 用 中 ,由 于 不 太 有 效 ( 协 议 复杂 、 签 名 长 ) 而 不 能 被 应 用 。 像 公 钥 密码 
体制 的 情况 一 样 ,我 们 的 主要 目的 还 是 设计 计算 上 安全 的 数字 签名 方案 。 

(3) 按 签名 者 在 一 个 数字 签名 算法 中 所 能 签 的 消息 的 个 数 分 

可 将 数字 签名 分 为 一 次 数字 签名 和 非 一 次 数字 签名 。 在 一 次 数字 签名 算法 中 ,一 个 签 
名 密 钥 只 能 签 一 个 消息 , 若 签 两 个 或 两 个 以 上 不 同 的 消息 ,敌手 就 能 伪造 签名 。 一 次 数字 签 
名 类 似 于 一 次 一 密码 体制 ,具有 很 强 的 安全 性 。 

(4) 根据 数字 签名 方案 所 基于 的 数学 难题 分 

数字 签名 方案 可 分 为 基于 离散 对 数 问题 的 签名 方案 和 基于 素 因子 分 解 问题 的 签名 方 
案 。 例 如 ,ELGamal 数字 签名 方案 和 DSA 签名 方案 都 是 基于 离散 对 数 问 题 的 数字 签名 方 
案 ,而 众所周知 的 RSA 数字 签名 方案 则 是 基于 素 因 子 分 解 问题 的 数字 签名 方案 。 将 离散 对 
数 问题 和 素 因 子 分 解 问 题 结合 起 来 .又 可 产生 同时 基于 离散 对 数 和 素 因子 分 解 问题 的 数字 
签名 方案 。 也 就 是 说 ,只 有 离散 对 数 问题 和 素 因 子 分 解 问题 同时 可 解 时 ,这 种 数字 签名 方案 
才 是 不 安全 的 ,而 在 离散 对 数 问题 和 素 因 子 分 解 问 题 只 有 一 个 可 解 时 ,这 种 方案 仍 是 安全 
的 。 二 次 剩余 问题 既 可 认为 是 数学 中 单独 的 一 个 难题 ,也 可 认为 是 素 因子 分 解 问题 的 特殊 
情况 ,而 基于 二 次 剩余 问题 同样 可 设计 多 种 数字 签名 方案 .如 Babin 数字 签名 方案 等 。 
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(5) 根据 签名 用 户 的 情况 分 

数字 签名 方案 可 分 为 单个 用 户 签名 的 数字 签名 方案 和 多 个 用 户 签名 的 数字 签名 方案 。 
一 般 的 数字 签名 是 单个 用 户 签名 方案 。 多 个 用 户 的 签名 方案 又 称 多 重 数字 签名 方案 。 根 据 
签名 过 程 的 不 同 , 多 重 数字 签名 又 可 分 为 有 序 多 重 数 字 签 名 方案 和 广播 多 重 数 字 签 名 方案 。 

C60 根据 数字 签名 方案 是 否 具 有 消息 自动 恢复 特性 分 

数字 签名 方案 可 分 为 不 具有 消息 自动 恢复 特性 和 具有 消息 自动 恢复 特性 两 类 。 一 般 的 
数字 签名 不 具有 消息 自动 恢复 特性 。 第 一 个 基于 离散 对 数 问题 的 具有 消息 自动 恢复 特性 的 
数字 签名 方案 诞生 于 1994 年 。 

2) 数字 签名 算法 

(1) 普通 数字 签名 算法 

一 个 普通 数字 签名 算法 (又 称 自 认 证 数字 签名 算法 ) 主 要 由 签名 算法 和 验证 算法 两 个 算 
法 组 成 。 签 名 者 能 使 用 一 个 (秘密 ) 签 名 算法 签 一 个 消息 ,所 得 的 签名 能 被 一 个 公开 的 验证 
算法 所 验证 。 给 定 一 个 签名 ,验证 算法 根据 签名 是 否 真实 ,作出 一 个 “ 真 ” 或 “ 假 " 的 回答 。 

普通 数字 签名 算法 具有 公开 可 验证 性 而 无 须 求助 于 任何 别 的 人 。 所 谓 可 转移 性 ,是 指 
知道 验证 算法 的 人 可 将 验证 算法 和 签名 转移 给 第 三 方 ,并 可 使 第 三 方 相信 签名 的 真实 性 。 
普通 数字 签名 的 这 些 特性 十 分 适合 于 某 些 应 用 场合 ,诸如 布告 和 公 钥 的 分 发 , 越 多 的 拷贝 越 
好 。 但 它 不 适用 于 许多 别 的 应 用 场合 ,如 对 商业 上 的 或 私人 的 敏感 信息 的 签名 ,签名 的 扩散 
有 助 于 工业 间谍 或 融 诈 者 。 

(2) 不 可 否认 的 数字 签名 算法 

不 可 否认 的 数字 签名 是 由 Chaum 和 Antwerpen 在 1989 年 提出 的 。 像 普通 数字 签名 
一 样 ,不 可 否认 数字 签名 是 由 一 个 签名 者 颁布 的 一 个 数 ,这 个 数 依赖 于 签名 者 的 公 钥 和 所 签 
的 消息 。 但 这 种 签名 有 一 个 新 颖 的 特征 , 即 没 有 签名 者 的 合作 ,接收 者 无 法 验证 签名 ,在 某 
种 程度 上 保护 了 签名 者 的 利益 。 一 个 不 可 否认 的 数字 签名 的 真 伪 性 ,是 通过 接收 者 和 签名 
者 执行 一 个 协议 来 推断 的 ,这 个 协议 称 为 否认 协议 。 如 果 在 一 个 系统 中 签名 者 不 希望 接收 
者 未 经 他 的 同意 就 向 别人 出 示 签 名 并 证 明 其 真实 性 ,那么 不 可 和 否认 的 数字 签名 很 好 地 适用 
于 这 种 应 用 场合 。 例 如 ,软件 开发 者 可 利用 不 可 否认 的 数字 签名 对 他 们 的 软件 进行 保护 ,使 
得 只 有 付 了 钱 的 顾客 才能 验证 签名 ,并 相信 开发 者 仍然 对 软件 负责 。 在 某 些 应 用 场合 ,需要 
使 用 者 将 不 可 否认 的 数字 签名 转化 为 普通 数字 签名 ,这 种 数字 签名 称 为 可 转移 的 不 可 否认 
的 数字 签名 ,具有 可 选择 地 转移 签名 的 优点 。 

(3) Fail-Stop 数字 签名 算法 

Fail-Stop 数字 签名 算法 的 不 可 伪造 性 依赖 于 一 个 计算 假设 . 即 如 果 一 个 签名 被 伪造 ， 
那么 假定 的 签名 者 能 证 明 这 个 签名 是 一 个 伪造 签名 。 更 精确 地 说 ,他 能 证 明 做 基础 的 计算 
假设 已 被 攻破 。 这 个 证 明 也 许 会 以 一 个 很 小 的 概率 失败 ,但 证 明 伪造 的 能 力 不 依 赖 于 任何 
密码 假设 ,并 独立 于 伪造 者 的 计算 能 力 。 再 者 ,在 第 一 次 伪造 之 后 ,系统 的 所 有 参加 者 或 系 
统 操作 人 员 都 知道 签名 算法 已 被 攻破 ,因此 系统 将 终止 工作 ,这 就 是 这 个 系统 为 什么 被 称 作 
“Fail-Stop (失败 一 停止 )” 的 原因 。 

(4) 群 数字 签名 算法 

由 Chaum 和 Heijst 提出 的 群 数字 签名 算法 ,允许 群 中 的 各 个 成 员 以 群 的 名 义 匿 名 签 
发 消息 。 这 种 数字 签名 算法 具有 以 下 三 个 特性 : 
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(D 只 有 和 群 的 成 员 能 代表 这 个 群 签 发 消息 。 

D 签名 的 接收 者 能 验证 它 是 这 个 群 的 一 个 合法 签名 ,但 不 知道 它 是 群 中 的 哪 一 个 成 员 
产生 的 。 

O 在 后 来 发 生 争端 的 情况 下 ,借助 于 群 成 员 或 一 个 可 信和 机构 能 识别 出 那个 签名 者 。 

一 个 实用 的 例子 一 一 投标 。 群 是 由 所 有 的 提交 投标 的 公司 组 成 的 集合 ,成 员 是 每 个 公 
司 。 每 个 公司 匿名 地 使 用 群 数字 签名 算法 签 他 的 投标 , 当 特 定 的 投标 被 选中 后 ,那个 签名 者 
能 被 识别 出 ,而 所 有 别 的 投标 的 签名 者 仍然 是 匿名 的 。 如 果 签 名 者 反悔 他 的 投标 ,那么 无 需 
签名 者 的 合作 ,就 能 计算 出 他 的 身份 。 

与 群 数字 签名 算法 相关 的 两 个 算法 是 : 群 定向 数字 签名 算法 和 多 重 数字 签名 算法 。 群 
定向 数字 签名 算法 允许 群 的 某 些 子 集 代表 那个 群 签名 ,但 它 没有 提供 识别 签名 者 的 方法 。 
多 重 数字 签名 算法 要 求 由 许多 人 来 签署 一 个 消息 。 

O) 盲 数 字 签 名 算法 

盲 数字 签名 算法 在 需要 实现 某 些 参加 者 的 匿名 性 的 密码 协议 中 有 着 广泛 而 重要 的 应 
用 ,例如 在 选举 协议 .安全 的 电子 支付 系统 中 等 。 育 数字 签名 算法 是 具有 下 列 两 个 特性 的 普 
通 数字 签名 算法 : 

CD. 消息 的 内 容 对 签名 者 是 不 可 见 的 。 

@ 在 签名 被 接收 者 公开 后 ,签名 者 不 能 追踪 签名 。 

言 数字 签名 算法 在 某 种 程度 上 保护 了 参加 者 的 利益 ,但 不 幸 的 是 盲 数字 签名 算法 的 匿 
名 性 能 被 犯罪 分 子 滥 用 。 为 了 阻止 这 种 滥用 ,人们 引入 了 公平 育 数 字 签 名 算法 , 它 比 育 数 字 
签名 算法 多 了 一 个 特性 , 即 通过 可 信 中 心 ,签名 者 可 追踪 签名 。 

(6) 其 他 数字 签名 算法 

除了 上 述 数字 签名 算法 之 外 ,还 有 一 些 别 的 数字 签名 算法 ,诸如 利用 零 知 识 思想 设计 的 
指定 验证 者 的 数字 签名 算法 、 利 用 秘密 共享 技术 设计 的 共享 验证 数字 签名 算法 ,以 及 具有 消 
息 恢 复 功 能 的 数字 签名 算法 等 。 另 外 ,值得 一 提 的 是 杂凑 技术 在 数字 签名 技术 中 起 着 重要 
的 作用 。 将 杂凑 技术 应 用 到 数字 签名 算法 中 ,除了 可 加 强 数 字 签 名 算法 ,例如 ,破坏 某 种 数 
学 结构 (如 同 态 结构 )、 提 高 数字 签名 算法 的 速度 等 外 .还 具有 以 下 几 个 优点 : 

。 可 将 签名 变换 和 秘密 变换 分 开 来 ,允许 用 私 钥 密码 体制 实现 保密 ,而 用 公 钥 密码 体 

制 实现 数字 签名 。 

。 无 须 泄露 签名 所 对 应 的 消息 . 即 可 将 签名 披露 。 

。 对 签 消息 能 提供 一 个 更 有 效 的 方法 。 

4. 数字 签名 应 用 实例 

随 着 计算 机 网 络 的 发 展 ,. 过 去 依赖 于 手书 签名 的 各 种 业务 都 可 用 这 种 电子 化 的 数字 签 
名 代替 , 它 是 实现 电子 贸易 .电子 支票 .电子 货币 .电子 出 版 及 知识 产权 保护 等 系统 安全 的 重 
要 保证 。 数 字 签 名 已 经 并 将 继续 对 人 们 如 何 共享 和 处 理 网 络 上 信息 与 事务 处 理 产生 巨大 的 

例如 ,在 大 多 数 合 法 系统 中 对 大 多 数 合 法 的 文档 来 说 ,文档 所 有 者 必须 给 一 个 文档 附 上 
一 个 时 间 标 签 ,指明 文档 签名 对 文档 进行 处 理 的 时 间 和 文档 有 效 期 。 在 用 数字 签名 对 文档 
进行 标识 之 前 ,用 户 可 以 很 容易 地 利用 电子 形式 为 文档 附 上 电子 时 间 标 签 。 因 为 数字 签名 
可 以 保证 这 一 时 间 标 签 的 准确 性 和 证 实 文档 的 真实 性 数字 签名 还 提供 了 一 个 额外 的 好 处 ， 
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即 它 提供 了 一 种 接收 者 可 以 证 明确 实 是 发 送 者 发 送 了 这 一 消息 的 方法 。 

使 用 电子 汇款 系统 时 人 们 也 可 以 利用 电子 签名 。 例 如 ,假设 有 一 个 人 要 发 送 从 一 个 账 
户 到 另 一 个 账户 转 存 100 000 美元 的 消息 ,如 果 在 一 个 未 加 保护 的 网 络 中 传输 这 一 消息 , 那 
么 黑客 就 有 可 能 改变 资金 的 数量 从 而 改变 了 这 一 消息 。 但 是 ,如 果 发 送 者 标记 这 一 消 
息 一 一 数字 签名 ,由 于 接收 系统 核实 错误 ,从 而 识别 出 对 此 消息 的 任何 改动 。 

大 范围 的 商业 应 用 要 求 变更 手书 写 签 名 方式 时 ,可 以 使 用 数字 签名 。 其 中 一 例 便 是 电 
子 数 据 交 换 (EDI) 。EDI 是 商业 文档 消息 的 机 对 机 交换 机 制 。 美国 联邦 政府 用 EDI 技术 来 
为 购物 提供 服务 。 在 EDI 文档 里 ,数字 签名 取代 了 手写 签名 ;利用 EDI 和 数字 签名 ,只 需 通 
过 网 络 媒介 即 可 进行 买卖 并 完成 合同 的 签订 。 

数字 签名 的 使 用 已 延伸 到 保护 数据 库 的 应 用 中 。 一 个 数据 库 管 理 者 可 以 配置 一 套 系 
统 , 它 要 求 输入 消息 到 数据 库 的 任何 人 在 数据 库 接收 之 前 必须 数字 化 标识 该 消息 。 为 了 保 
证 真实 性 ,系统 也 要 求 用 户 标 识 对 消息 所 做 的 任何 修改 。 在 一 个 用 户 查看 已 被 标识 过 的 消 
息 之 前 ,系统 将 核实 创建 者 或 编辑 者 在 数据 库 消 息 中 的 签名 ,如 果 签 名 核实 结果 正确 ,用 户 
就 知道 没有 未 经 授权 的 第 三 者 改变 这 些 消息 。 

数字 签名 过 程 如 图 2-9 所 示 。 
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图 2-9 数字 签名 过 程 


2.7.2 数字 信封 技术 


1. 数字 信封 的 原理 

数字 信封 (digital envelope) 公 钥 密 码 体制 在 实际 中 的 一 个 应 用 ,是 用 加 密 技术 来 保证 
只 有 规定 的 特定 收 信人 才能 阅读 通信 的 内 容 的 一 种 技术 方法 。 

在 数字 信封 中 ,信息 发 送 方 采用 对 称 密 钥 来 加 密 信息 内 容 , 然 后 将 此 对 称 密 钥 用 接收 方 
的 公开 密 钥 来 加 密 ( 这 部 分 称 数字 信封 ) 之 后 ,将 它 和 加 密 后 的 信息 一 起 发 送 给 接收 方 ,接收 
方 先 用 相应 的 私有 密 钥 打开 数字 信封 ,得 到 对 称 密 钥 ,然后 使 用 对 称 密 钥 解 开 加 密 信息 。 这 
种 技术 的 安全 性 相当 高 。 数 字 信封 主要 包括 数字 信封 打包 和 数字 信封 拆 解 ,数字 信封 打包 
是 使 用 对 方 的 公 钥 将 加 密 密 钥 进行 加 密 的 过 程 , 只 有 对 方 的 私 钥 才能 将 加 密 后 的 数据 (通信 
密 钥 还原 ;数字 信封 拆 解 是 使 用 私 钥 将 加 密 过 的 数据 解密 的 过 程 。 

数字 信封 的 功能 类 似 于 普通 信封 ,普通 信封 在 法 律 的 约束 下 保证 只 有 收 信人 才能 阅读 
信和 的 内 容 ; 数 字 信封 则 采用 密码 技术 保证 了 只 有 规定 的 接收 人 才能 阅读 信 的 内 容 。 数 字 信 
封 中 采用 了 对 称 密 码 体制 和 公 钥 密码 体制 。 信 息 发 送 者 首先 利用 随机 产生 的 对 称 密码 加 密 
信息 ,再 利用 接收 方 的 公 钥 加 密 对 称 密码 ,被 公 钥 加 密 后 的 对 称 密码 被 称 为 数字 信封 。 在 传 


第 2 章 密码 学 与 信息 安全 


递 信息 时 ,信息 接收 方 若 要 解密 信息 ,必须 先 用 自己 的 私 钥 解密 数字 信封 ,得 到 对 称 密 码 , 才 
能 利用 对 称 密码 解密 所 得 到 的 信息 。 这 样 就 保证 了 数据 传输 的 真实 性 和 完整 性 。 

2. 数字 信封 的 应 用 

数字 信封 应 用 流程 如 图 2-10 所 示 , 其 具体 步骤 如 下 。 
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图 2-10 数字 信封 应 用 流程 图 


CD 对 需 传送 的 信息 (如 电子 合同 、 支 付 指 令 ) 采 用 速度 较 快 的 私有 密 钥 ( 对 称 密 钥 ) 加 密 
法 加 密 , 但 密 钥 不 先 由 双方 约定 ,而 是 在 加 密 前 由 发 送 方 随机 产生 。 

D 用 私有 密 钥 对 信息 进行 加 密 ,形成 密 文 M ,传送 给 接收 方 。 

© 将 刚才 生成 的 较 短 的 私有 密 钥 利用 接收 方 的 公开 密 钥 进行 加 密 , 形 成 私有 密 钥 
密 文 。 

CD 把 私有 密 钥 密 文 定点 发 送 给 接收 方 。 可 以 断定 只 有 接收 方 能 解密 。 

© 接收 方 收 到 发 送 方 传 来 的 私有 密 钥 的 密 文 后 ,用 自己 的 私人 密 钥 解 密 , 取 出 私有 
密 钥 。 

© 用 私有 密 钥 对 原来 收 到 的 信息 密 文 进行 解密 ,得 到 信息 明文 。 

通过 以 上 步骤 ,好 比 用 安全 的 “信封 "把 私有 和 密 钥 封 装 起 来 ,之 所 以 称 做 数字 信封 (封装 
的 是 里 面 的 对 称 密 钥 ) 。 因 为 数字 信封 是 用 消息 接收 方 的 公开 密 钥 加 密 的 ,只 能 用 接收 方 的 
私人 密 钥 解密 打开 ,别人 无 法 得 到 信封 中 的 对 称 密 钥 , 既 保证 了 信息 的 安全 ,又 提高 了 速度 。 

3. 数字 信封 的 优点 

数字 信封 具有 如 下 优点 。 

(1) 加 密 和 解密 速度 较 快 ,可 满足 实用 特别 是 网 络 支付 中 的 即时 处 理 需 要 。 

(2) 通信 双方 在 传输 的 密 文中 携带 用 RSA 公 钥 加 密 的 DES 密 钥 ,不 用 为 交换 DES 密 
钥 而 费 尽 周折 , 减 小 了 DES 密 钥 在 传输 过 程 中 泄密 的 风险 。 

(3) 具有 数字 签名 和 认证 的 功能 。 

采用 RSA 算法 ,通信 双方 可 以 将 自己 的 签名 信息 互相 发 给 对 方 , 供 保留 和 认证 。 

(4) 密 钥 管 理 方便 。 虽 然 采 用 DES 算法 ,解决 了 交换 DES 密 钥 的 问题 ,但 并 不 用 为 每 
次 通信 都 保密 管理 DES 密 钥 ,只 需 保 管 自己 的 RSA 私人 密 钥 。RSA 公开 密 钥 可 以 任意 公 
开 , 而 DES 密 钥 可 以 在 通信 之 前 随机 产生 ,不 必 事 先 约定 ,通信 结束 后 ,会 消去 相应 的 DES 
密码 。 

(5) 保证 通信 的 安全 。 消 息 发 送 方 使 用 随机 DES 密码 对 信息 明文 进行 加 密 , 保 证 了 只 
有 具有 DES 密 钥 给 定 的 收 信人 才能 解密 阅读 信 的 内 容 , 采 用 数字 信封 ,即使 加 密 文件 在 网 
络 传输 时 被 他 人 非法 截获 ,也 因为 没有 DES 密 钥 ,不 能 进行 解密 。 
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2.7.3 密 钥 管理 技术 


根据 近代 密码 学 的 观点 ,一 个 密码 系统 的 安全 性 取决 于 对 密 钥 的 保护 ,而 不 取决 于 对 算 
法 的 保密 。 密 码 体制 可 以 公开 ,密码 设备 可 以 丢失 ,然而 一 旦 密 钥 丢 失 或 出 错 , 不 但 用 户 不 
能 提取 信息 ,而 且 可 能 会 使 非法 用 户 窃取 信息 。 可 见 , 密 钥 的 保密 和 安全 管理 在 数据 系统 安 
全 中 是 极为 重要 的 。 密 钥 管 理 包括 密 钥 的 设置 .产生 分配、 存储 、 装 入 保护 、 使 用 以 及 销 筑 
等 内 容 , 其 中 密 钥 的 分 配 和 存储 可 能 是 最 琼 手 的 问题 。 这 里 只 简要 介绍 密 钥 管理 的 一 些 基 
本 理论 和 技术 。 

1. 密 钥 的 设置 

目前 流行 的 密 钥 管理 方案 中 一 般 采 用 层次 的 密 钥 设置 ,目的 在 于 减少 单个 密 钥 的 使 用 
周期 ,增加 系统 的 安全 性 。 多 层次 的 密 钥 系统 中 的 密 钥 分 成 两 大 类 : 数据 加 密 密 钥 (DK) 和 
密 钥 加 密 密 钥 (KK)。 前 者 直接 对 数据 进行 操作 ,后 者 用 于 保护 密 钥 , 使 之 通过 加 密 而 安全 
传递 。 

通常 可 以 将 一 个 多 层次 密 钥 系统 中 的 各 个 部 分 ,按照 它们 之 间 的 控制 关系 ,划分 为 一 级 
密 钥 、 二 级 密 钥 、….n 级 密 钥 。 其 中 ,一 级 密 钥 用 算法 fi 保护 二 级 密 钥 ,二 级 密 钥 用 算法 
fs 保护 三 级 密 钥 , 依 此 类 推 。 最 底层 的 密 钥 也 叫做 工作 密 钥 ,也 就 是 数据 加 密 密 钥 , 用 于 直 
接 对 数据 加 解密 ,而 所 有 上 层 的 密 钥 都 是 密 钥 加 密 密 钥 。 为 了 保证 密 钥 的 安全 ,一 般 情 况 下 
工作 密 钥 平时 并 不 放 在 加 密 装 置 里 保存 ,而 是 在 需要 进行 加 解密 时 由 上 层 的 密 钥 临时 产生 ， 
使 用 完毕 就 立即 清除 。 最 高 层 的 密 钥 也 叫做 主 密 钥 ,一 般 来 讲 , 主 密 钥 使 整个 密 钥 管理 系统 
中 的 最 核心 .最 重要 的 部 分 ,应 采用 最 保险 的 手段 严格 保护 。 

密 钥 层次 设置 ,体现 了 一 个 密 钥 系统 在 组 织 结构 上 的 基本 特点 。 层 次 是 由 密 钥 系统 的 
功能 决定 的 。 如 果 一 个 密 钥 系统 所 定义 的 功能 很 简单 ,其 层次 就 可 以 很 简单 ,如 早期 保密 通 
信 都 采用 单 层 密 钥 体 制 , 密 钥 的 功能 就 是 对 明文 加 解密 。 然 而 ,现代 信息 系统 的 密 钥 管理 不 
仅 要 求 密 钥 本 身 的 安全 保密 ,更 要 求 密 钥 能 够 定期 更 换 , 甚 至 一 报 一 换 , 密 钥 能 自动 生成 和 
分 配 , 密 钥 的 更 换 对 用 户 透明 等 , 单 层 密 钥 体 制 已 无 法 适应 这 种 需要 了 。 所 以 , 现 有 的 计算 
机 网 络 系统 的 密 钥 设计 大 都 采取 多 层 的 形式 。 

2. 密 钥 的 分 配 

密 钥 分 配 是 密 钥 管理 中 最 大 的 问题 。 密 钥 必 须 通 过 最 安全 的 通路 进行 分 配 。 传 统 的 方 
法 是 派 非常 可 靠 的 信使 携带 密 钥 分 配给 互相 通信 的 各 用 户 。 这 种 方法 的 安全 性 完全 取决 于 
信使 的 忠诚 和 素质 ,但 很 难 完全 消除 信使 被 收买 的 可 能 性 。 另 外 , 随 着 用 户 的 增多 和 通信 量 
的 增 大 , 密 钥 更 好 频繁 , 派 信使 的 办 法 就 不 再 适用 。 因 此 ,现代 密 钥 分 配 的 研究 一 般 要 解决 
两 个 问题 : 一 是 引进 自动 分 配 密 钥 机 制 ,以 提高 系统 的 效率 ;二 是 尽 可 能 减少 系统 中 驻 留 的 
密 钥 量 。 

目前 ,典型 的 有 两 类 自动 密 钥 分 配 途径 : 集中 式 分 配方 案 和 分 布 式 分 配方 案 。 所 谓 集 
中 式 分 配 是 指 利用 网 络 中 的 * 密 钥 管理 中 心 C(KMC) ”来 集中 管理 系统 中 的 密 钥 ,KMC 接收 
系统 中 的 用 户 的 请 求 ,为 用 户 提供 安全 分 配 密 钥 的 服务 。 分 布 式 分 配方 案 是 指 网 络 中 各 主 
机 具有 相同 的 地 位 。 它 们 之 间 的 密 钥 分 配 取决 于 它们 自己 的 协商 ,不 受 任何 其 他 方面 的 
限制 。 

目前 ,已 经 设计 出 了 大 量 的 密 钥 分 配 协议 ,诸如 Blom 密 钥 分 配 协议 ,基于 对 称 密码 体 
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制 的 密 钥 分 配 协议 ,基于 非 对 称 密码 体制 的 密 钥 分 配 协议 ,基于 身份 的 密 钥 分 配 协议 等 。 

3. 密 钥 的 分 存 

存储 在 系统 中 的 所 有 密 钥 的 安全 性 可 能 最 终 取 决 于 一 个 主 密 钥 。 这 样 做 存在 两 个 明显 
的 缺陷 : 一 是 若 主 密 钥 偶然 地 或 有 意 地 被 暴露 ,整个 系统 就 易 受 攻击 。 二 是 若 主 密 钥 丢失 
或 损坏 ,系统 中 的 所 有 信息 就 不 能 用 了 。 关 于 这 个 问题 Shamir 于 1979 年 提出 了 一 种 解释 
方案 ,该 方案 基于 有 限 域 上 的 多 项 式 的 拉 格 朗 日 插值 公式 , 它 的 基本 思想 是 : 将 一 个 密 钥 及 
K 破 成 n AE Ki Koen K, 满足 : 

。 已 知 任意 1 个 K; 的 值 ,易于 计算 出 K。 

。 已 知 任意 :一 1 个 或 更 少 K; 个 , 则 由 于 信息 短缺 而 不 能 确定 出 K。 

将 个 小 片 分 给 个 用 户 。 由 于 要 重 构 密 钥 需要 t 个 小 片 , 故 暴露 一 个 小 片 或 大 到 
:一 1 个 小 片 不 会 危及 密 钥 , 且 少 于 1 一 1 个 用 户 不 能 共 谍 得 到 密 钥 。 同 时 ,车 一 个 小 片 被 丢 
失 或 损坏 , 仍 可 恢复 密 钥 。 

4. 密 钥 托管 技术 

加 密 技术 是 一 把 双 刃 剑 , 它 既 可 以 帮助 守法 公民 和 企业 保密 ,又 可 以 被 犯罪 分 子 用 于 掩 
护 其 犯罪 事实 。 这 就 给 政府 管理 社会 ,法 律 执行 部 门 跟踪 犯罪 嫌疑 分 子 带 来 了 一 定 的 困难 。 
从 国家 的 利益 来 考虑 ,应 该 能 控制 加 密 技 术 的 使 用 。 为 了 确保 合法 用 户 保密 通信 的 安全 和 
政府 对 犯罪 分 子 保密 通信 的 有 效 监听 ,美国 政府 在 1993 年 公布 了 托管 加 密 标 准 (Escrowed 
Encryption Standard,EES) 。 该 技术 一 被 提出 就 立即 受到 了 世界 广泛 的 关注 ,并 很 快 成 为 
密码 学 界 人 们 的 另 一 个 话题 。 由 于 这 种 加 密 体制 具有 在 法 律 许 可 时 可 以 进行 密 钥 合成 的 功 
能 ,所 以 政府 在 必要 时 无 需 花费 巨大 代价 破译 密码 ,而 能 够 直接 侦 听 。 这 项 政策 在 美国 乃至 
世界 引起 了 强烈 的 反响 和 争议 。 

EES 主要 有 两 个 新 的 特点 : 一 个 新 的 加 密 算法 和 一 个 密 钥 托管 系统 。 其 中 最 新 的 特使 
就 是 它 的 密 钥 托管 功能 ,. 当 一 个 Clipper 芯片 被 用 来 进行 加 解密 时 ,一 个 LEAF (Law 
Enforcement Access Field) 信 息 必 须 被 提供 ,否则 由 防 窜 扰 芯片 拒绝 解密 ,其 中 LEAF 包含 
一 个 会 话 密 钥 的 加 密 拷贝 ,这 样 被 授权 的 监听 机 构 就 可 以 通过 解密 LEAF 得 到 会 话 密 钥 ， 
从 而 有 效 地 实施 监听 。 


2.7.4 消息 完整 性 检验 技术 


通信 双方 在 互相 传送 消息 时 ,不 仅 要 对 数据 进行 保密 ,不 让 第 三 者 知道 ,还 要 能 够 知道 
数据 在 传输 过 程 中 没有 被 别人 改变 ,也 就 是 要 保证 数据 的 完整 性 。 采 用 的 方法 是 用 被 传送 
的 数据 生成 一 个 完整 性 值 ,将 此 完整 性 值 与 原始 数据 一 起 传送 给 接收 者 ,接收 者 用 此 完整 性 
值 来 检验 消息 在 传送 过 程 中 有 没有 发 生 改变 。 这 个 值 由 原始 数据 通过 某 一 加 密 算法 产生 ， 
比 原始 数据 短小 ,能 代表 原始 数据 ,所 以 称 作 消 息 摘要 (或 报 文摘 要 )。 

对 消息 摘要 有 几 个 要 求 ,第 一 ,生成 消息 摘要 的 算法 必须 是 一 个 公开 的 算法 ,数据 交换 
的 双方 可 以 用 同一 算法 对 原始 数据 经 计算 而 生成 的 消息 摘要 进行 验证 。 第 二 ,算法 必须 是 
一 个 单 向 算法 ,就 是 只 能 通过 此 算法 从 原始 数据 计算 出 消息 摘要 ,而 不 能 通过 消息 摘要 得 到 
原始 数据 。 第 三 ,不 同 的 两 条 消息 不 能 得 到 相同 的 消息 摘要 。 

通常 , 报 文 的 加 密 可 通过 DES 加 密 技 术 、AES 加 密 技术 来 实现 ,而 报 文 的 鉴别 则 可 通 
过 数字 凭证 技术 进行 加 密 和 认证 。 
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但 在 特定 的 网 络 环境 中 ,许多 报 文 并 不 需要 加 密 , 但 是 要 求 发 送 的 报 文 应 该 是 完整 的 和 
不 可 伪造 的 。 例 如 ,通过 网 络 通知 网 络 上 所 有 用 户 有 关上 网 的 注意 事项 。 对 于 不 需要 加 密 
的 报 文 进行 加 密 和 解密 ,将 给 计算 机 增加 很 多 不 必要 的 开销 ,因此 ,可 使 用 报 文摘 要 MD 算 
法 来 进行 报 文 鉴别 算法 来 达到 目的 。 
报 文摘 要 算法 过 程 如 下 : 
。 发 送 方 将 待 发 送 的 可 变 长 的 报 文 m 经 过 MD 算法 计算 得 出 固定 长 度 (如 128 位 ) 的 
报 文摘 要 HO». 
* 对 互 (加 密生 成 密 文 E, H mD HIER m 之 后 传送 给 接收 方 ,如 图 2-11(a) 
所 示 。 
。 在 接收 端 收 到 报 文 m 和 报 文摘 要 E(H(m)) 密 文 之 后 ,将 报 文摘 要 密 文 E, CH O00 ff 
密 还 原 成 HOn). 
。 同时 在 接收 端 将 收 到 的 报 文 m 经 过 MD 算法 运算 得 出 的 报 文摘 要 H On 5j HOO 
比较 是 否 相 同 , 若 不 相同 则 可 断定 收 到 的 报 文 在 传输 过 程 中 已 被 自 改 。 其 解密 过 程 
如 图 2-11(b) 所 示 。 
报 文摘 要 的 优点 是 对 于 一 个 有 限 长 度 报 文摘 要 五 (mx) 进 行 加 密 比 对 整个 报 文 m 进行 
加 密 效 率 要 高 得 多 ,但 对 鉴别 报 文 m 来 说 ,其 效果 是 一 样 的 。 也 就 是 说 mr 和 Ei( 有 HGm)) 在 
一 起 是 不 可 算 改 和 不 可 伪造 的 ,是 可 鉴别 和 不 可 抵赖 的 。 


报 文摘 要 报 文 m+ 摘 要 密 文 
EA(H(m)) -9 Eon) 


报 文 m Him). | 


-| MD 算法 


E 


! ! 
报 文摘 要 算法 。 ”用 密 钥 K 加 密 
生成 摘要 报 文摘 要 


(a) 消息 搞 要 的 加 密 过 程 


| 2? | 1 
Jtr Hn) 5j Hom") 
是 否 相等 


six ugg pue d 


ED) 


报 文摘 要 算法 生成 摘要 
(b) 消息 摘要 的 解密 过 程 
图 2-11 消息 摘要 的 加 密 和 解密 过 程 


l. 密码 系统 由 哪些 部 分 组 成 ? 各 部 分 的 含义 分 别 是 什么 ? 

2. 什么 是 对 称 密码 体制 ? 什么 是 非 对 称 密码 体制 ? 试 比 较 二 者 的 优 缺点 。 

3. 常用 的 密码 分 析 攻 击 类 型 有 哪些 ? 

4. 编制 一 个 DES 算法 , 设 密 钥 为 SECURITY ,明文 为 NETWORK INFORMATION 
SECURITY ,计算 密 文 ,并 列 出 每 一 轮 的 中 间 结 果 。 
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. 简 述 椭圆 曲线 密码 体制 的 基本 思想 。 

. 身份 证 明 系 统 的 组 成 和 要 求 分 别 是 什么 ? 
. 什么 是 数字 取证 技术 ? 可 分 为 哪些 类 ? 
. 简 述 数字 水 印 技术 的 基本 思想 。 

. 数字 签名 的 含义 是 什么 ? 

10. 简 述 数字 信封 技术 的 原理 及 应 用 。 


o 0-30 o0 
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目前 被 广泛 使 用 的 TCP/IP 协议 在 最 初 设计 时 是 基于 一 种 可 信和 网 络 环境 来 考虑 设计 
的 ,没有 考虑 安全 性 问题 。 因 此 ,建立 在 TCP/IP 基础 之 上 的 Internet 的 安全 架构 需要 补充 
安全 协议 来 实现 。 

本 章 主 要 内 容 有 : 

。 SSL 协议 ; 

。 SSH 协议 ; 

。 SET 协议; 

。 IPSec 协议 。 


3.1 SSL 协议 


3.1.1 SSL 概述 


随 着 计算 机 网 络 技术 向 整个 经 济 社会 各 层次 延伸 ,整个 社会 表现 为 对 Internet、 
Intranet, Extranet 等 使 用 的 更 大 的 依赖 性 。 随 着 企业 间 信 息 交 流 的 不 断 增加 ,任何 一 种 网 
络 应 用 和 增值 服务 的 使 用 程度 将 取决 于 使 用 网 络 的 信息 安全 有 无 保障 ,网 络 安全 已 成 为 现 
代 计 算 机 网 络 应 用 的 最 大 障碍 ,也 是 急需 解决 的 难题 之 一 。SSL(Secure Socket Layer, 安 全 
套 接 层 ) 是 由 Netscape 公司 开发 的 一 种 网 络 安 全 协议 ,主要 为 基于 TCP/IP 的 网 络 应 用 程 
序 提供 身份 验证 ,数据 完整 性 和 数据 机 密 性 等 安全 服务 。SSL 已 得 到 了 业界 的 广泛 认可 ， 
被 广泛 应 用 于 网 络 安全 产品 中 ,成 为 事实 上 的 工业 标准 。 

SSL 协议 的 基本 目标 是 在 两 个 通信 实体 之 间 建 立 安全 的 通信 连接 ,为 基于 客户 机 服务 
器 模式 的 网 络 应 用 提供 安全 保护 。SSL 协议 提供 了 3 种 安全 特性 : 

COD 数据 机 密 性 : 采用 对 称 加 密 算法 (如 DES、RC4 等 ) 来 加 密 数据 , 密 钥 是 在 双方 握手 
时 指定 的 。 

(2) 数据 完整 性 : 采用 消息 鉴别 码 (MAC) 来 验证 数据 的 完整 性 , MAC 是 采用 Hash PR 
数 实现 的 。 

(3) 身份 合法 性 : 采用 非 对 称 密码 算法 和 数字 证 书 来 验证 同 层 实体 之 间 的 身份 合 
法 性 。 

SSL 协议 是 一 个 分 层 协议 ,由 两 层 组 成 : SSL 握手 协议 和 SSL 记录 协议 。SSL 握手 协 
议 用 于 数据 交换 前 的 双方 (客户 和 服务 器 ) 身 份 认证 以 及 密码 算法 和 密 钥 的 协商 , 它 独立 于 
应 用 层 协 议 。SSL 记录 协议 用 于 在 数据 交换 过 程 中 的 数据 加 密 和 数据 认证 , 它 建立 在 可 靠 
的 传输 协议 (如 TCP) 之 上 。 因 此 ,SSL 协议 是 一 个 嵌入 在 TCP 和 应 用 层 协 议 之 间 的 安全 
协议 ,能 够 为 基于 TCP/IP 的 应 用 提供 身份 认证 .数据 加 密 和 数据 认证 等 安全 服务 。 
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3.1.2 SSL 体系 结构 与 协议 


SSL 协议 由 两 层 结 构 组 成 : 底层 为 记录 层 协议 (Record Protocol) , 它 建 立 在 面向 连接 
的 可 靠 传输 协议 (如 TCP) 基 础 之 上 ,提供 机 密 性 、 真 实 性 和 重 传 保护 ,实现 对 数据 的 加 密 ， 
封装 各 种 高 层 协议 ;高 层 由 握手 协议 (Handshake Protocol) .告警 协议 (Alert Protocol) 、 改 
变 密 码 规格 协议 (Change Cipher Spec Protocol) 三 个 并 行 的 协议 构成 。 高 层 协议 需要 记录 
层 协 议 支 持 , 其 中 握手 协议 与 其 他 的 高 层 协议 不 同 ,其 他 高 层 协议 属于 应 用 开发 的 范畴 , 需 
要 握手 协议 的 支持 ,而 握手 协议 则 是 SSL 底层 实现 必须 具有 的 功能 ,因为 记录 层 协 议 的 完 
成 也 由 它 来 作 保证 。SSL 协议 的 体系 结构 如 图 3-1 所 示 。 


应 用 层 协 议 (HTTP、FTP ^j) ~ ”应 用 层 
mrs | amo | viu | | C 
SSL 记 录 层 协议 alid 

TCP m fZ 

IP L——-, Mig 

Ethernet/Token Ring [——*1 链 路 层 
LAN/WAN 物理 层 


图 3-1 SSL 协议 的 体系 结构 


1. 记录 层 协议 

SSL 记录 层 协议 是 一 个 封装 协议 , 它 将 从 上 层 协议 接收 的 数据 (这 些 数据 可 以 是 任意 
长 度 的 非 空 数据 块 ) ,按照 握手 协议 的 协商 结果 进行 分 段 . 压 缩 `, 加 密 , 然 后 将 密 文 交 给 网 络 
传输 协议 进行 处 理 , 其 工作 流程 如 图 3-2 所 示 。 


从 上 层 取得 要 传输 的 信息 将 信息 交付 上 层 
分 成 可 处 理 的 块 合并 块 
压缩 数据 US 
加 MAC 校 验 
as kl 
hs cue BW. ele. € E: 


图 3-2 SSL 记录 层 协 议 


对 于 发 送 方 的 记录 层 , 其 工作 步骤 如 下 : 

CD 从 上 层 获得 需要 传输 的 信息 m m 为 任意 大 小 。 

(2) 将 m TREKK m smetmi Æ SSL v3. 0 中 块 大 小 不 超过 16KB。 取 
i 一 1,2,…,, 依 次 执行 (3) 一 (6) 的 步 又。 

(3) 对 块 数据 m; 进行 压缩 得 到 nm;。 目 前 压缩 算法 为 空 (Null) , 即 未 进行 压缩 。 

(4) 在 压缩 后 的 信息 中 添加 信息 认证 代码 MAC 得 到 s;==n; 二 MAC(ni)。 
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C5) 对 s; 进行 加 密 得 到 p;。 

(6) 将 数据 户 发 送 到 接收 方 。 
对 于 接收 方 的 记录 层 , 其 工作 步骤 是 取 ; 王 1,2,…,, 依 次 执行 (7) 一 (12) 的 步 又， 
(7) 接收 发 送 方 发 送 的 数据 pio 


(8) 解密 pi 得 到 sio 


O) 将 s; 分 成 n; H MACO) ,根据 MAC(ni) 对 信息 n; 进行 认证 。 


(10) 利用 解压 缩 算法 从 m; 还 原 出 mo 


AD 将 mm em t ,ma 进行 合并 ,得 到 信息 m. 
(12) 将 m 送 往 上 层 应 用 。 


发 送 者 A 将 他 的 消息 计算 出 一 个 消息 摘要 ,然后 用 他 的 私 钥 对 消息 摘要 进行 加 密 , 得 
到 数字 签名 ,并 将 数字 签名 和 原文 一 起 发 送 给 B。B 收 到 后 用 A 的 公 钥 解密 消息 摘要 ,再 用 
A 的 算法 计算 出 收 到 消息 的 摘要 ,将 二 者 进行 比较 ,车 相同 , 则 表明 消息 来 源 于 A 并 且 未 被 
算 改 ,这 就 是 利用 数字 签名 实现 的 消息 认证 。 


2. 握手 协议 


SSL 握手 协议 是 SSL 中 最 复杂 的 部 分 。 此 协议 允许 客户 端 和 服务 器 端 相互 认证 ,协商 
加 密 和 MAC 算法 ,保护 数据 使 用 的 密 钥 通过 SSL 记录 传送 。 握 手 协议 在 传递 应 用 数据 之 


前 使 用 。 

握手 协议 由 客户 端 和 服务 器 间 交 换 的 一 系列 消息 组 成 ,每 个 消息 由 三 部 分 组 成 ,如 
表 3-1 所 示 。 

表 3-1 SSL 握手 协议 消息 类 型 .代码 及 参数 
消息 类 型 代码 5 数 

hello_request 0 Null 

client_hello 1 版 本 号 .随机 数 、 会 话 标识 .密码 组 .压缩 方法 

server_hello 2 版 本 号 ,随机 数 会话 标识 .密码 组 .压缩 方法 

certificate 11 X. 509v3 证 书 链 

server_key_exchange 12 人 参数、 签名 

certificate request 13 类 型 .认证 机 构 

server_hello_done 14 Null 

certificate verify 15 签名 

client_key_exchange 16 参数 、 签 名 

finished 20 Hash 值 


。 消息 类 型 (1 字 节 ) ,表明 10 种 消息 中 的 一 种 。 


。 消息 长 度 (3 字 节 ) ,消息 的 字 节 长 度 。 


* 内 容 (大 于 等 于 1 字 节 ): 与 消息 相关 的 参数 。 


当 SSL 客户 和 服务 器 开始 通信 时 ,首先 要 通过 协商 ,在 协议 版 本 、 密 码 算法 、 是 否认 证 
对 方 以 及 用 什么 技术 来 产生 共享 秘密 数据 等 方面 获得 一 致 。 握 手 协议 是 在 任何 应 用 程序 数 
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据 传输 之 前 使 用 的 。SSL 握手 协议 包括 四 个 阶段 ,如 图 3-3 所 示 。 


第 i 
一 Sienthe no | 包括 协议 版 本 、 会 话 标志 、 密 
阶 server hello 码 组 、 压 缩 算法 和 初始 随机 数 
B 

certificate 
第 Server key exchange | 发 送 服务 器 证 书 、 Pide 
m e 换 、 请 求 客户 端 证 书 。 服 务 器 信 
阶 certificate request 号 以 server_hello_done 结束 
B server hello done 
第 certificate 
= " 如 果 请 求 ， 客 户 端 发 送 证 书 。 
gno Mae | 客户 端 发送 密 钥 交换 ， 也 可 以 
B certificate verify 发 送 证 书 验 证 消息 

change cipher spec 

第 finished 
» deno 修改 密友 组， 结束 握手 协议 


图 3-3 SSL 握手 协议 的 处 理 过 程 


1) 第 一 阶段 一 一 呼叫 阶段 

此 阶段 用 来 建立 一 个 初始 的 逻辑 连接 ,并 建立 与 连接 相关 联 的 安全 能 力 。 客 户 端 发 起 
这 个 交换 ,发 送 client-hello 消息 ,消息 中 包括 版 本 、 随 机 数 ( 由 客户 端 生 成 的 随机 数 结构 ,由 
32 位 时 间 惟 和 一 个 安全 随机 数 生成 器 生成 的 28 字 节 随机 数组 成 ) .会话 标志 (一 个 变 长 的 
会 话 标 志 。 非 0 值 意 味 着 客户 端 要 更 新 已 存在 连接 的 参数 ,或 为 此 会 话 创建 一 个 新 的 连接 ; 
0 值 意味 着 客户 端 要 在 新 会 话 上 创建 一 个 新 连接 ) 支持 的 密码 组 ( 按 优先 级 降序 排列 .客户 
端 支持 的 密码 算法 列表 。 表 的 每 个 元 素 定义 了 一 个 密 钥 交 换算 法 和 一 个 密码 说 明 ) .压缩 算 
法 列表 (一 个 客户 端 支 持 的 压缩 方法 列表 ) 等 参数 。 然 后 ,客户 端 等 待 包含 与 client-hello 参 
数 相同 的 server-hello 消息 的 到 来 。 对 server-hello 消息 而 言 ,应 用 了 如 下 惯例 : 版 本 域 中 
包含 的 是 客户 端 支持 的 最 低 版 本 号 和 服务 器 支持 的 最 高 版 本 号 。 随 机 数 域 由 服务 器 生成 ， 
与 客户 端的 随机 数 域 相互 独立 。 如 果 客 户 端 会 话 标 志 非 0, 则 服务 器 使 用 与 其 相同 的 值 。 
否则 ,服务 器 的 会 话 标 志 域 包含 新 对 话 的 值 ,密码 组 域 包含 服务 器 从 客户 端 所 给 的 密码 组 中 
选 出 的 压缩 方法 。 

2) 第 二 阶段 一 一 服务 器 认证 和 密 钥 交 换 阶 段 

首先 ,如 果 需 要 进行 认证 , 则 服务 器 开始 发 送 自己 的 证 书 ;消息 包含 一 个 或 一 组 x. 509 
WEP. REZA Diffie_Hellman 方法 外 ,其 他 密 钥 交换 方法 均 需 要 证 书 (certificate) 消 息 。 注 
意 ,如 果 使 用 固定 Diffie_Hellman, 此 证 书 消息 将 由 于 包含 了 服务 器 Diffle_Hellman 4:191 
数 而 作为 服务 器 的 密 钥 交换 消息 。 然 后 ,服务 器 发 送 密 钥 交 换 (server keyexchange) 消 息 
(可 选 ,在 以 下 两 种 情况 下 不 需要 此 消息 : 服务 器 发 送 了 带 有 固定 Difie Hellman 参数 的 证 
书 ; 使 用 RSA 密 钥 交换 )。 消 息 包含 签名 ,被 签名 的 内 容 包 括 两 个 随机 数 以 及 服务 器 参数 。 
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接 下 来 ,对 于 非 匿名 服务 器 发 送 certificate request 消息 ,向 客户 请 求 一 个 证 书 ( 包 含 证 书 类 
型 和 可 接受 的 CA)。 最 后 服务 器 发 送 server_hello_done 等 待 。 

3) 第 三 阶段 一 一 客户 端 认 证 和 密 钥 交换 阶段 

客户 端 收 到 服务 器 发 送 的 server hello done 消息 之 后 ,根据 需要 检查 证 书 , 并 检查 
server_hello 参数 是 否 可 接受 。 如 果 所 有 的 条 件 均 没 有 问题 , 则 客户 端 向 服务 器 发 回 一 个 或 
多 个 消息 。 

CD 如 果 服 务 器 请 求 了 证 书 , 则 在 此 阶段 客户 端 开始 发 送 一 条 证 书 消息 。 如 果 未 提供 合 
适 的 证 书 , 则 客户 端 将 发 送 一 个 无 证 书 (no_certificate) 警 报 。 

O 然后 客户 端 发 送 密 钥 交 换 (client_key_exchange) 消 息 ,消息 的 内 容 依赖 于 密 钥 交 换 
的 类 型 。 

O 最 后 ,客户 端 发 送 一 个 证 书 验 证 (certificate_verify) 消 息 ,包括 一 个 签名 ,对 从 第 一 条 
消息 以 来 的 所 有 消息 的 HMAC 进行 签名 。 

4) 第 四 阶段 一 一 完成 阶段 

此 阶段 完成 安全 连接 的 设置 。 客 户 端 发 送 修改 密码 规范 (change_cipher_spec) 消 息 ,并 
把 协商 得 到 的 密码 算法 列表 复制 到 当前 连接 的 状态 之 中 。 然 后 ,客户 用 新 的 算法 、 密 钥 参 数 
发 送 一 个 完成 (finished) 消 息 。 此 消息 可 以 检查 密 钥 交换 和 认证 过 程 是 否 已 经 成 功 ,其 中 包 
括 一 个 校 验 值 ,对 所 有 的 消息 进行 校 验 。 最 后 ,服务 器 同样 发 送 一 个 修改 密码 规范 消息 和 完 
成 消息 。 

此 时 ,握手 完成 ,建立 起 一 个 安全 连接 ,客户 端 和 服务 器 即 可 开始 交换 应 用 层 数据 。 


3.1.3 SSL 安全 性 分 析 


1. SSL 协议 保密 性 分 析 

SSL 协议 对 数据 的 保密 性 主要 是 防止 数据 在 网 络 上 传输 时 被 人 窃听 ,数据 保密 包括 连 
接 保密 、 无 连接 保密 、 选 择 字段 保密 以 及 信息 流 保密 等 方面 。SSL 协议 采用 对 称 加 密 算法 
如 DES, RC4 等 对 传输 数据 进行 加 密 。 通 信和 双方 在 SSL 握手 过 程 结束 后 ,根据 协商 后 的 密 
钥 对 所 有 数据 进行 加 密 , 将 数据 以 密 文 形式 在 网 上 传送 ,从 而 保证 数据 的 保密 性 。 

2. SSL 协议 完整 性 分 析 

SSL 协议 通过 通信 双方 分 别 验证 对 方 的 握手 结束 消息 来 保证 握手 消息 的 完整 性 。 
SSL 协议 对 记录 层 中 的 应 用 数据 通过 使 用 密 钥 保护 的 数字 摘要 来 保证 其 完整 性 。 数 字 摘 
要 由 SSL 协议 对 记录 层 压缩 后 的 数据 计算 得 出 ,SSL 协议 采用 MD5. SHA 等 算法 来 保证 
数据 完整 性 。 数 字 摘 要 和 它 所 保护 的 数据 绑 定 在 一 个 记录 中 发 送 给 接收 者 ,接收 者 将 根据 
接收 到 的 数字 摘要 来 判定 数据 是 否 在 传输 过 程 中 被 修改 。 

3. SSL 协议 中 的 身份 验证 

为 了 防止 通信 者 的 身份 被 中 间 人 冒充 ,SSL 协议 提供 了 以 数字 证 书 为 基础 的 身份 认证 
机 制 。 数 字 证 书包 含 两 个 方面 的 内 容 ,一 是 数字 证 书 的 真实 性 ,二 是 确保 数字 证 书 为 发 送 者 
所 拥有 ( 即 发 送 者 拥有 该 证 书 的 私 钥 )。 证 书 的 真实 性 可 通过 CA 对 证 书 的 签名 来 认证 ， 
SSL 协议 对 客户 证 书 和 服务 器 证 书 真实 性 的 认证 都 采取 了 这 种 机 制 。 它 们 都 通过 向 对 方 
发 送 证 书 消息 来 向 对 方 表明 自己 的 身份 。 证 书 消息 中 包含 了 从 用 户 证 书 到 其 上 级 发 证 CA 
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证 书 ,最 后 直到 其 根 证 书 的 一 条 证 书 链 。 证 书 消息 的 接收 方 只 需要 顺 着 这 条 证 书 链 就 可 以 
认证 用 户 证 书 的 真实 性 。SSL 协议 中 采用 的 非 对 称 加 密 算法 为 RSA 或 Diffie-Hellman。 


3.1.4 SSL 协议 的 应 用 


1. SSL 构建 安全 Web 网 站 

信息 技术 的 使 用 给 人 们 的 生活 、 工 作 带 来 许多 方便 之 处 ,例如 ,便捷 的 网 上 购物 ` 网 上 银 
行 、 银 证 转账 .网 上 证 券 等 。 同 时 ,由 于 Internet 的 开放 性 , 随 着 网 络 应 用 水 平 的 提高 ,也 出 
现 了 越 来 越 多 的 安全 隐患 ,例如 ,网 络 信息 被 非法 修改 、 网 站 被 假冒 、 重 要 信息 非法 泄露 , 否 
认 / 抵 赖 、 伪 造 已 提交 或 已 接收 的 信息 等 ,这 些 问 题 严重 影响 了 Web 网 站 的 正常 工作 。 随 着 
计算 机 网 络 技术 特别 是 Internet 技术 的 发 展 , Web 系统 已 从 最 初 的 提供 信息 查询 浏览 的 静 
态 服务 系统 发 展 成 可 提供 动态 交互 的 网 络 计算 和 信息 服务 的 综合 系统 ,在 此 基础 上 实现 对 
网 络 电子 商务 、 事 务 处 理 、 工 作 流 以 及 协同 工作 等 业务 的 支持 。 

SSL 协议 是 内 艇 在 浏览 器 中 的 安全 协议 , 随 着 Web 浏览 器 技术 的 发 展 ,SSL 协议 己 被 
工业 界 认 可 。SSL 协议 具有 与 高 层 无 关 的 特点 ,高 层 应 用 协议 (如 FTP, Telnet 等 ) 可 以 在 
SSL 协议 之 上 透明 传输 。 在 高 层 协 议 传输 数据 之 前 ,SSL 协议 可 以 协商 密码 算法 和 会 话 密 
钥 ,在 数据 传输 阶段 ,SSL 协议 对 数据 加 密 , 从 而 达到 了 保密 性 。 

基于 SSL 协议 构建 安全 Web 应 用 ,具有 如 下 三 个 基本 特点 : 

CD 信道 是 保密 的 。 经 过 握手 之 后 ,协商 好 的 会 话 密 钥 可 以 对 客户 端 与 服务 器 端 之 间 
传递 的 信息 加 密 。 

(2) 信道 是 经 过 验证 的 。 通 信 的 服务 器 端 总 是 被 加 以 验证 ,客户 端 可 以 选择 性 地 加 以 

(3) 信道 是 可 靠 的 。 对 信道 中 的 信息 加 以 完整 性 校 验 。 

2. SSL VPN 应 用 

SSLVPN 指 的 是 基于 SSL 协议 建立 远程 安全 访问 通道 的 VPN 技术 。 它 是 近年 来 兴起 
的 VPN 技术 ,SSL VPN 随 着 Web 的 普及 和 电子 商务 .远程 办 公 的 兴起 而 迅速 发 展 。 

SSLVPN 是 应 用 层 的 VPN ,基于 HTTPS 来 访问 受 保护 的 应 用 。 目 前 常见 的 SSL 
VPN 方案 可 分 为 直路 方式 和 旁 路 方式 。 在 直路 方式 中 , 当 客 户 端 需要 访问 应 用 服务 器 时 ， 
要 经 过 以 下 三 个 步骤 : 

(1) 客户 端 和 SSL VPN 网 关 通 过 证 书 互相 验证 双方 。 

(2) 客户 端 和 SSL VPN 网 关 之 间 建 立 SSL 通道 。 

(3) SSL VPN 网 关 作为 客户 端的 代理 和 应 用 服务 器 之 间 建 立 TCP 连接 ,在 客户 端 和 
应 用 服务 器 之 间 转 发 数据 。 

SSL VPN 的 最 大 的 优势 在 于 客户 端 。 由 于 浏览 器 内 骨 了 SSL 协议 ,因此 安装 了 Web 
浏览 器 的 客户 机 可 以 随时 作为 SSL VPN 的 客户 端 。 通 过 SSL VPN ,客户 端 可 以 在 任何 时 
间 任 何 地 点 对 应 用 资源 进行 访问 .也 就 是 说 基于 B/S 结构 的 业务 时 .可 以 直接 使 用 浏览 器 
完成 SSL 的 VPN 建立 。 而 IPSec VPN 只 允许 使 用 已 经 定义 好 的 客户 端 进行 访问 ,所 以 这 
种 方式 更 适合 应 用 于 企业 内 部 。 
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3.2 TLS 协议 


3.2.1 TLS 概述 


传输 层 安全 协议 (Transport Layer Security. TLS) 的 前 身 是 安全 套 接 层 协议 。 安 全 套 
接 层 协议 (Secure Sockets Layer. SSL) 最 初 于 1995 年 由 网 景 公 司 (Netscape 
Communications Corporation) 设 计 和 开发 ,其 目的 主要 是 为 电子 商务 的 应 用 提供 一 个 安全 
的 环境 。 网 景 公 司 以 开发 WWW 浏览 器 Netscape Navigator 而 闻名 ,但 是 该 公司 由 于 各 种 
原因 已 不 存在 。 虽 然 SSL 最 初 仅仅 由 网 景 公 司 开 发 ,但 是 由 于 其 在 网 络 安全 中 的 重要 性 ， 
因此 1996 年 IETF(Internet Engineering Task Force, 互 联网 工作 组 ) 成 立 了 工作 组 ,并 于 
1999 年 在 SSL v3 的 基础 上 ,推出 传输 层 安全 协议 TLS v1(RFC2246),2003 年 推出 了 TLS 
扩展 版 本 ,并 最 终于 2006 年 形成 了 TLS vl. 1(RFC 4346)。TLS 协议 基于 可 靠 传 输 协议 
(如 TCP 协议 ) 之 上 ,其 组 成 主要 包括 TLS 记录 层 协 议 (TLS Record Protocol) 和 TLS 握手 
协议 (TLS Handshake Protocol) 。 

TLS 记录 层 协议 具有 两 个 特点 : 

COD 连接 的 机 密 性 。TLS 记录 层 协 议 结合 密 钥 交换 协议 (如 TLS 的 握手 协议 ) 和 对 称 
加 密 机 制 ,可 为 通信 双方 提供 一 条 安全 通道 ,用 于 数据 的 安全 传输 。 

(2) 连接 的 可 靠 性 。TLS 记录 的 消息 传输 包括 完整 性 校 验 功 能 ,从 而 确保 消息 传输 过 
程 的 完整 性 。 

所 有 上 层 协议 (包括 TLS 握手 协议 和 基于 TLS 的 应 用 程序 ) 的 数据 均 由 TLS 记录 层 
协议 封装 后 传输 。 


3.2.2 TLS 协议 结构 


TLS 协议 的 基本 设计 目标 是 为 两 个 通信 实体 之 间 提 供 数 据 的 机 密 性 和 完整 性 。 该 协 
议 分 为 两 层 : TLS 记录 协议 和 TLS 握手 协议 。TLS 记录 协议 建立 在 其 他 可 靠 的 传输 协议 
之 上 (如 TCP/IP). TLS 记录 协议 提供 的 连接 安全 性 有 两 个 基本 特点 : 

d) 该 连接 是 保密 的 。 在 数据 加 密 中 使 用 了 对 称 密码 算法 (如 DES、RC4)。 对 于 每 个 
连接 ,都 要 根据 另 一 个 协议 (如 TLS 握手 协议 ) 协 商 的 秘密 产生 一 个 唯一 的 对 称 密码 算法 的 
密 钥 (会 话 密 钥 ) 。 记 录 协 议 也 可 以 在 没有 加 密 的 情况 下 使 用 。 

(2) 该 连接 是 可 靠 的 。 消 息 的 传输 使 用 了 加 密 的 MAC。 在 计算 MAC 时 使 用 了 安全 
的 Hash 函数 (如 SHA、MD5)。 记 录 协 议 也 可 以 不 通过 MAC 来 操作 。 

记录 协议 用 于 封装 高 层 的 协议 ,例如 TLS 握手 协议 。 担 手 协议 使 客户 和 服务 器 之 间 相 
互 进 行 认证 ,并 协商 加 密 算法 和 密 钥 。TLS 握手 协议 提供 的 连接 安全 性 具有 以 下 三 个 基本 
特点 : 

CD 对 等 实体 可 以 使 用 公 钥 密码 算法 (如 RSA、DSS) 进 行 认证 。 这 种 认证 是 可 选 的 ,但 
是 通常 至 少 需要 对 一 方 进行 认证 。 

(2) 共享 秘密 的 协商 是 安全 的 。 即 使 攻击 者 能 够 发 起 中 间 人 人 入侵 攻击 ,协商 的 秘密 也 
不 可 能 被 窃听 者 获得 。 
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(3) 协商 是 可 靠 的 。 攻 击 者 不 能 在 不 被 发 现 的 情况 下 自 改 协商 通信 数据 。 

TLS 协议 的 一 个 优点 是 它 对 于 高 层 应 用 协议 的 透明 性 ,高 层 应 用 数据 可 以 使 用 TLS 
协议 建立 的 加 密 信道 透明 地 传输 数据 ,同时 ,TLS 协议 不 依赖 于 低层 的 传输 协议 可 以 建立 
在 任何 能 够 提供 可 靠 连接 的 协议 上 ,例如 TCP、SPX 等 。TLS 协议 的 结构 以 及 与 其 他 层次 
的 关系 如 图 3-4 所 示 。 


应 用 软件 (系统 ) 


[ 客户 机 服务 器 软件 0000— | 
— M (OG A 


应 用 协议 
Telnet | mre e FTP 


| 可 靠 的 传输 协议 | 
1 TCP ud SPX j 
| n ce EM a i 
[MR OMNE idi noD RN f — J 
Internet ik Ethernet 


图 3-4 TLS 协议 的 结构 和 层次 


从 概念 上 来 讲 ,TLS 记录 协议 位 于 表示 层 , 而 TLS 握手 协议 位 于 应 用 层 。 也 就 是 说 ， 
TLS 协议 位 于 表示 层 和 应 用 层 之 间 。 由 于 目前 大 多 数 协议 都 没有 设计 安全 功能 ,所 以 为 了 
适用 于 大 多 数 协 议 ,TLS 协议 在 设计 时 使 用 的 是 “插入 "模式 。 


3.2.3 TLS 记录 协议 


TLS 记录 协议 的 一 条 记录 包含 长 度 字段 .描述 字段 和 内 容 字 段 。 记 录 协 议 得 到 要 发 送 
的 消息 后 ,将 数据 分 成 易于 处 理 的 数据 分 组 ,进行 数据 压缩 处 理 ,计算 数据 分 组 的 密码 校 验 
值 MAC, 加 密 数 据 ,然后 发 送 数据 。 接 收 到 的 消息 首先 被 解密 ,然后 校 验 MAC、 解 压缩 、 重 
组 ,最 后 传递 给 协议 的 高 层 客户 。 记 录 协 议 有 四 种 类 型 的 客户 : 握手 协议 .警告 协议 .改变 
密码 格式 协议 和 应 用 数据 协议 。 为 了 便于 TLS 协议 的 扩展 ,记录 协议 可 以 支持 额外 的 记录 
类 型 。 使 用 时 需要 为 新 的 记录 类 型 分 配 内 容 类 型 值 。 如 果 TLS 接收 到 了 不 理解 的 内 容 类 
型 值 , 则 忽略 该 类 型 。 值 得 注意 的 是 ,因为 一 条 记录 的 内 容 类 型 和 长 度 字 段 没 有 进行 加 密 保 
护 , 所 以 对 这 些 值 进行 通信 业务 流 分 析 的 攻击 是 可 以 实现 的 ,所 以 在 具体 的 协议 实现 时 应 当 
仔细 考虑 这 些 值 的 可 用 价值 .以免 泄 露 机 密 信息 。 

1. TLS 连接 状态 

TLS 连接 状态 反映 的 是 TLS 记录 协议 的 操作 环境 。 它 规定 协议 所 采用 的 加 密 算法 、 
压缩 算法 和 MAC 算法 ,以 及 与 这 些 算法 相关 的 参数 .如 MAC 保密 数值 . 块 加 密 密 钥 、. 读 和 
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写 方向 上 的 初始 化 加 密 向 量 IV 等 。 从 逻辑 上 看 ,主要 有 四 个 连接 状态 : 当前 的 读 状态 和 写 

状态 ,意见 未 决 的 读 状 态 和 写 状 态 。 所 有 的 记录 是 在 读 状 态 和 写 状态 下 处 理 的 。 未 决 状态 

的 安全 参数 由 TLS 握手 协议 来 设置 ,握手 协议 可 以 有 选择 地 将 未 决 状态 转变 为 当前 状态 ， 

在 这 种 情况 下 ,当前 正在 使 用 的 “当前 状态 "被 新 的 未 决 状态 取代 ,原来 的 未 决 状态 又 被 

初始 化 为 空 状态 。 当 一 个 状态 的 安全 参数 还 没有 被 初始 化 时 ,是 不 允许 将 它 设置 为 当前 
建立 TLS 连接 时 , 读 和 写 状态 的 安全 参数 通过 以 下 方法 设置 : 

CD 连接 端 : 确定 端 实体 是 “客户 ?还 是 “服务 器 ”。 

(2) 块 加 密 算法 : 加 密 数据 块 的 算法 。 包 括 算法 采用 的 密 钥 长 度 、 密 钥 的 保密 程度 、 密 
文 块 的 长 度 以 及 它 是 否 是 “出 口 ? 密 码 。 

(3) MAC 算法 : 用 于 消息 认证 。 包 括 Hash 摘要 的 长 度 。 

(4) 压缩 算法 : 包括 数据 压缩 所 需 的 所 有 信息 。 

C5) 主 保密 数值 : 由 建立 连接 的 对 等 实体 共享 的 48 字 节 长 的 保密 数值 构成 。 

(6) 客户 随机 数 : 客户 提供 的 32 字 节 长 的 随机 数 。 

(7) 服务 器 随机 数 : 服务 器 提供 的 32 字 节 长 的 随机 数 。 

所 有 这 些 参数 可 以 使 用 枚 举 、 结 构 等 数据 类 型 表示 。 

2. 记录 层 数 据 处 理 

记录 层 对 从 高 层 接受 的 数据 进行 记录 形成 .压缩 和 加 密 等 处 理 。 

1) 记录 形成 

TLS 记录 层 将 上 层 协议 的 信息 块 划分 成 不 超过 2* 个 字 节 的 TLS 明文 记录 。 记 录 层 不 
保护 客户 消息 的 边界 。 多 个 客户 消息 可 以 组 合成 一 个 TLS 记录 发 送 ,一 个 客户 消息 也 可 以 
被 分 成 多 个 记录 发 送 。 明 文 记 录 中 包含 版 本 号 .协议 消息 类 型 (255 表示 最 大 类 型 号 ) .消息 
长 度 和 消息 体 。 

2) 压缩 

压缩 处 理 是 将 TLSPlaintext 结构 的 数据 变换 成 TLSCompressed 结构 。 压 缩 必须 是 无 
损 压缩 ,而 且 对 内 容 的 增加 不 能 超过 1024 个 字 节 。 

3) 加 密 

压缩 必须 是 加 密 处 理 将 TLSCompressed 结构 变换 成 TLSCiphertext 密 文 记录 。 它 的 
格式 包括 类 型 .协议 版 本 号 、 加 密 类 型 选择 ( 流 加 密 或 者 块 加密 ) 和 消息 体 。 

其 中 ,记录 中 包括 MAC 数值 , MAC 的 计算 内 容 包括 消息 顺序 号 ,以 防止 消息 的 重 放 和 
遗漏 。 具 体 的 块 加 密 消息 体 结构 包括 加 密 数 据 、MAC 认证 数值 、 密 文 补丁 、 补 丁 长 度 和 块 
加 密 消 息 体 等 。 

MAC 是 在 块 加 密 前 进行 的 。 块 加 密 的 第 一 个 IV 是 从 共享 的 保密 数值 中 产生 的 ,后 继 
的 就 是 前 一 次 记录 的 最 后 一 个 密 文 块 。 

4) 密 钥 计算 

记录 层 协议 要 用 某 种 算法 来 从 握手 协议 协商 的 安全 参数 中 产生 密 钥 .IV 和 MAC 保密 
数值 。 所 有 这 些 密 钥 都 是 从 主 保密 数值 中 派生 的 。 
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3.2.4 TLS 握手 协议 


TLS 握手 协议 在 通信 的 对 等 实体 之 间 协 商 建立 记录 层 所 需 的 安全 参数 ,并 相互 认证 身 
份 ,为 双方 报告 出 错 情况 ,并 使 用 公 钥 密码 技术 生成 共享 秘密 参数 。 

TLS 握手 协议 包括 以 下 几 个 步骤 : 

(1) 交换 hello 消息 以 协商 密码 算法 ,交换 随机 值 并 检查 会 话 是 否 可 重用 。 

(2) 交换 必要 的 密码 参数 ,使 客户 和 服务 器 能 够 协商 premaster secret。 

(3) 交换 证 书 和 密码 信息 ,使 客户 和 服务 器 能 够 进行 相互 认证 。 

(4) 使 用 交换 的 随机 值 和 premaster secret 生成 master secret. 

(5) 为 记录 协议 提供 安全 参数 。 

(6) 允许 客户 和 服务 器 校 验 对 方 是 否 计算 出 了 相同 的 安全 参数 ,以 及 校 验 上 述 握手 过 
程 是 否 被 攻击 者 窃听 。 

1. 握手 过 程 

客户 向 服务 器 发 送 Client hello 消息 ,服务 器 应 答 server hello 消息 。client hello 和 
server hello 消息 建立 安全 属性 : 协议 版 本 会话 ID、CipherSuite 和 压缩 方法 。 同 时 生成 并 
交换 两 个 随机 数 : ClientHello. random 和 ServerHello. random, 

实际 的 密 钥 交换 使 用 四 条 消息 : server certificate, server _key | exchange, client _ 
certificate 和 client _key _exchange。 

在 hello 消息 之 后 ,如 果 需 要 认证 服务 器 的 话 , 服 务 器 将 发 送 其 证 书 。 另 外 ,如 果 需 要 
的 话 ,还 要 发 送 server key exchange 消息 。 对 服务 器 进行 认证 之 后 ,服务 器 可 以 请 求 客 户 
证 书 。 然 后 ,服务 器 将 发 送 server hello done 消息 .指示 握手 协议 的 hello 消息 阶段 结束 ， 
服务 器 等 待 客户 的 响应 。 如 果 服 务 器 发 送 了 certificate request 消息 ,客户 必须 发 送 客户 证 
书 ,然后 发 送 client_key_exchang 消息 ,消息 的 内 容 取决 于 client. hello 和 server hello 定义 
的 密 钥 交换 算法 。 如 果 客 户 发 送 了 具有 签名 能 力 的 证 书 . 则 需要 发 送 certificate verify 消 
息 显 式 地 校 验 该 证 书 。 

随后 ,客户 发 送 change _cipher_spec 消息 ,并 将 未 决 的 CipherSpec 复制 为 当前 的 
CipherSpec。 然 后 ,客户 在 新 的 算法 、 对 称 密 钥 和 MAC 秘密 之 下 立即 发 送 finish 消息 。 服 
务 器 响应 客户 的 消息 ,发送 其 change cipher spec 消息 和 finish 消息 。 到 此 为 止 ,握手 结 
东 , 客 户 和 服务 器 可 以 开始 发 送 应 用 层 数据 了 ,握手 流程 如 图 3-5 所 示 。 

如 果 客 户 和 服务 器 决定 重用 以 前 的 会 话 , 则 过 程 为 : 客户 使 用 要 重用 的 会 话 ID 发 送 
ClientHello 消息 ,服务 器 在 会 话 缓存 中 检查 该 ID, 如 果 找 到 匹配 的 ID, 并 且 服 务 器 同意 在 
这 样 的 条 件 下 建立 连接 , 它 将 发 送 包 含 相 同 ID 的 ServerHello 消息 。 此 时 ,客户 和 服务 器 
都 必须 在 发 送 finish 消息 之 前 发 送 change cipher spec 消息 。 如 果 服 务 器 没有 找到 匹配 的 
会 话 ID ,服务器 将 生成 新 的 会 话 ID ,双方 需要 进行 完整 的 握手 。 

2. 基本 消息 描述 

hello 消息 : 服务 器 和 客户 使 用 hello 消息 来 交换 安全 相关 的 信息 ,如 随机 数 、 
CipherSuite 等 ,包括 client. hello 消息 ,server hello 消息 和 hello request 消息 。 

server certificate 消息 : 该 消息 表示 服务 器 发 送 证 书 , 在 server hello 消息 之 后 立即 被 
发 送 。 证 书 的 类 型 必须 与 所 选择 的 CipherSuite 中 的 密 钥 交换 算法 相 匹 配 ,一 般 情况 下 是 
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客户 o 服务 器 
clientHello 
ServerHello 
Certificate* 


Server key Exchange 
Certificate request* 


certificate* [7— ——, Server hello done 


client key exchange 
certificate verify* 
change cipher spec 
finished H Change cipher spec 
je— Finished 


application data I ~ ApplicationData 


*# 表 示 可 选 的 消息 或 者 根据 具体 情况 来 决定 是 否 要 发 送 的 消息 
图 3-5 握手 过 程 消息 流程 图 


X. 509v3 格式 的 证 书 , 证 书 中 要 包含 与 密 钥 交换 算法 相 匹配 的 密 钥 。 

server key exchange 消息 : 该 消息 仅 在 服务 器 发 送 的 server certificate 消息 中 没有 包 
含 足够 的 信息 使 客户 可 以 交换 premaster secret 的 时 候 发 送 ,为 客户 端 协商 Premaster_ 
secret 传递 密码 信息 。 

certificate request 消息 : 服务 器 发 送 该 消息 指示 客户 提供 其 证 书 。 

server_hello_done 消息 : 服务 器 发 送 该 消息 指示 hello 阶段 结束 。 

client_certificate 消息 : 这 是 客户 接收 到 server_hello_done 消息 之 后 能 够 发 送 的 第 一 
条 消息 ,该 消息 只 有 在 服务 器 要 求证 书 的 情况 下 才 发 送 。 如 果 客 户 没有 合适 的 证 书 , 也 可 以 
发 送 不 包含 证 书 的 client_certificate 消息 。 

client. key. exchange 消息 : 该 消息 由 客户 发 送 ,一 般 使 用 RSA 公 钥 加 密 的 方式 传输 
premaster_secret, 或 者 使 用 Diffie-Hellman 方法 使 双方 商定 该 秘密 。 

certificate_verify 消息 : 该 消息 用 来 提供 显示 的 客户 证 书 校 验 。 

finished 消息 : 该 消息 在 change_cipher_spec 消息 之 后 发 送 , 用 来 校 验 密 钥 交换 和 认证 
过 程 是 否 成 功 。finished 消息 是 第 一 个 使 用 刚刚 商定 的 算法 、 密 钥 和 秘密 进行 保护 的 消息 。 
该 消息 的 接收 者 必须 校 验 消息 内 容 的 正确 性 。 


3.2.5 TLS 安全 性 分 析 


TLS 协议 的 目的 是 在 不 安全 的 网 络 连 接 上 实现 客户 和 服务 器 的 安全 通信 。 在 讨论 
TLS 的 安全 性 时 ,假设 攻击 者 不 可 能 从 协议 的 外 部 获得 任何 保密 信息 ,并 且 攻 击 者 具有 俘 
获 , 修 改 、 删 除 、 重 放 以 及 任何 能 够 自 改 所 发 送 的 信息 的 能 力 。 我 们 从 以 下 几 个 方面 来 分 析 
TLS 的 安全 性 : 

1. 认证 和 密 钥 交换 

TLS 支持 三 种 认证 方式 : 相互 认证 ,认证 服务 器 而 不 认证 客户 ,完全 匿名 。 只 要 服务 器 
被 认证 ,就 能 防止 中 间 人 对 信道 的 攻击 。 但 完全 匿名 认证 不 能 防止 这 种 攻击 方式 。 匿 名 服 
务 器 不 能 认证 客户 。 被 认证 的 服务 器 要 向 客户 提供 一 个 合法 的 证 书 链 , 被 认证 的 客户 也 要 
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向 服务 器 提供 一 个 合法 的 证 书 链 。 任 何 一 方 负责 检验 另 一 方 的 证 书 是 否 合法 和 有 效 。 

密 钥 交换 的 主要 目的 是 在 通信 的 实体 之 间 建 立 共 享 的 预备 主 保密 数值 。 攻 击 者 无 法 得 
到 该 数值 。 由 预备 主 保密 数值 计算 出 主 保密 数值 。 在 “证 书 检验 消息 ”和 “结束 消息 ”中 要 利 
用 主 保密 数值 计算 MAC 值 和 加 密 、 认 证 密 钥 。 

2. 低 版 本 攻击 

由 于 TLS 向 下 兼容 于 SSL 2. 0, 攻 击 者 可 能 通过 迫使 客户 采用 TLS 协议 ,而 服务 器 采 
用 SSL 2. 0 协议 来 破坏 通信 的 安全 性 。SSL 2. 0 协议 存在 许多 漏洞 ,SSL 3.0 有 了 很 大 的 
改进 ,TLS 协议 又 是 SSL 3.0 的 后 继 版 本 ,因此 建议 客户 和 服务 器 尽量 采用 同样 的 协议 
版 本 。 

3. 对 握手 协议 攻击 的 检测 

攻击 者 可 能 通过 影响 握手 协议 来 迫使 通信 双方 采用 安全 级 别 尽 可 能 低 的 算法 ,或 促使 
双方 采用 不 同 级 别 的 算法 。 对 于 这 种 攻击 ,攻击 者 必须 主动 修改 一 到 多 个 握手 消息 。 当 这 
种 情况 发 生 时 ,客户 和 服务 器 会 计算 出 不 同 的 握手 消息 哈 希 值 。 因 此 ,通信 双方 都 不 能 接受 
对 方 的 “结束 消息 ”。 由 于 攻击 者 无 法 得 到 主 保密 数值 ,因此 他 无 法 伪造 “结束 消息 ”。 这 样 ， 
通信 双方 就 能 检测 出 这 种 攻击 。 

4. 会 话 的 恢复 

当 通 过 会 话 恢复 重新 开始 一 个 安全 连接 时 ,会 话 的 主 保密 数值 中 包含 新 的 
ClientHello. random 和 ServerHello. random, 只 要 主 保密 数值 不 泄露 并 且 产生 加 密 和 MAC 
密 钥 的 Hash 函数 操作 是 安全 的 ,那么 新 建立 的 连接 独立 于 以 前 的 连接 而 且 是 安全 高 效 的 。 
攻击 者 不 可 能 从 Hash 函数 的 结果 得 到 加 密 和 MAC 959] 。 

会 话 必 须 在 通信 的 双方 都 认可 后 才能 恢复 , 当 有 一 方 怀疑 另 一 方 ,或 者 证 书 过 期 失效 
时 ,必须 经 过 完全 的 握手 协商 才能 建立 新 的 会 话 连接 。 一 个 会 话 的 持续 时 间 不 能 超过 24 小 
时 。 对 于 运行 在 相对 不 安全 的 环境 中 的 应 用 程序 ,不 要 将 会 话 标识 符 保 存在 固定 的 存储 
mp. 

5. 保护 应 用 数据 

主 保密 数值 包括 对 ClientHello. random 和 ServerHello. random 的 Hash 摘要 ,因此 对 
于 不 同 的 连接 和 连接 的 不 同方 向 ,数据 的 加 密 和 MAC 密 钥 都 是 不 同 的 。 要 输出 的 数据 在 
传输 前 先 受 MAC 的 保护 ,MAC 的 计算 值 包括 MAC 密 钥 、 顺 序号 .消息 长 度 、 消 息 内 容 和 
两 个 固定 的 字符 串 。 消 息 类 型 域 确保 传递 到 某 个 TLS 记录 层 的 消息 不 会 被 重 定 向 到 另 一 
个 TLS 记录 层 。 顺 序号 使 消息 的 删除 和 重 放 攻 击 能 被 检测 到 。 某 一 方 的 消息 不 可 能 被 插 
入 到 别 的 实体 的 输出 中 ,因为 不 同 实 体 的 MAC 密 钥 是 不 同 的 。 类 似 地 ,客户 写 和 服务 器 写 
密 钥 都 是 不 同 的 ,因此 一 次 数据 流 的 密 文 密 钥 只 使 用 一 次 。MAC 密 钥 和 数据 加 密 密 钥 最 
好 采用 不 同 的 主 保密 数值 哈 希 结果 ,这 样 能 减少 同时 泄露 所 有 信息 的 可 能 。 


3.3 SSH 协议 


3.3.1 SSH 概述 


SSH(Secure Shell) Æ IETF(Internet Engineering Task Force) 的 网 络 工作 组 所 制定 的 
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一 族 协议 ,其 目的 是 要 在 非 安 全 网 络 上 提供 安全 的 远程 登录 和 其 他 安全 网 络 服务 。 

类 似 于 SSL,SSH 也 是 建立 在 应 用 层 和 传输 层 基 础 上 的 安全 协议 。 与 SSL 不 同 的 是 ， 
SSH 主要 解决 的 是 密码 在 网 络 上 明文 传输 的 问题 ,因此 通常 用 来 替代 Telnet, FTP 等 协议 。 

传统 的 Telnet, FTP 和 Rlogin 等 服务 存在 众多 安全 缺陷 ,例如 使 用 弱 密 码 单一 认证 机 
制 ;传输 数 据 ( 包 括 账 号 和 密码 ) 为 明文 ,容易 被 窃取 、 自 改 和 重 放 ; 这 些 服务 的 安全 验证 机 制 
容易 引发 各 种 欺骗 ,如 中 间 人 攻击 等 。 为 了 克服 这 些 安全 缺陷 ,SSH 协议 被 设计 出 来 。 

SSH 使 用 多 种 加 密 方式 和 认证 方式 ,解决 了 以 上 传统 服务 的 数据 加 密 、 身 份 认 证 问题 。 
SSH 成 熟 的 公 钥 / 私 钥 体 系 ,为 客户 端 和 服务 端 之 间 的 会 话 提供 加 密 通道 ,解决 了 数据 ( 包 
括 密码 ) 在 网 络 上 明文 传输 的 不 安全 问题 。SSH 还 支持 CA、Smart 卡 等 多 种 认证 方式 , 解 
决 了 身份 认证 问题 ,可 抵御 重 放 攻击 和 中 间 人 攻击 。 

SSH 的 “加 密 通道 ”是 通过 端口 转发 实现 的 。 可 以 在 本 地 没有 使 用 的 端口 和 在 远程 服 
务 器 上 运行 的 某 个 服务 的 端口 之 间 建 立 “ 加 密 通 道 "。 然 后 只 要 连接 到 本 地 端口 ,所 有 对 本 
地 端口 的 请 求 都 被 SSH 加 密 并 且 转 发 到 远程 服务 器 的 端口 。 

为 了 满足 扩展 性 的 要 求 , 协 议 规范 了 所 采用 的 密码 算法 、 密 钥 协 商 方式 和 认证 方式 等 的 
命名 规则 ,并 统一 协议 中 消息 的 格式 。 协 议 也 允许 在 各 个 方向 上 充分 协商 加 密 、 完 整 性 、 密 
钥 交 换 、 压 缩 及 公 钥 算法 和 格式 等 。 新 的 算法 、 扩 展 协议 等 可 以 自由 地 添加 ,只 要 符合 协议 
规定 的 命名 规则 以 及 消息 格式 。 


3.3.2 SSH 协议 体系 结构 


1. SSH 层次 结构 
SSH 协议 包括 3 个 主要 部 分 : SSH 传输 层 协 议 (Transport Layer Protocol) ,SSH HP! 
认证 协议 (User Authentication Protocol) fll SSH 连接 协议 CConnection Protocol) 三 个 组 件 


SSH 应 用 层 协议 组 成 。 每 层 提供 不 同类 型 的 安全 保护 ,并 且 可 以 与 
连接 协议 其 他 方式 一 起 使 用 。 其 协议 结构 如 图 3-6 所 示 。 

poo 传输 层 协 议 提供 对 服务 端 认证 ,机密 性 和 完整 

服务 器 认证 。 ”数据 机 密 性 ”数据 完整 性 ”性 的 支持 ,作为 可 选项 , 它 还 提供 压缩 功能 。 传 输 

Tepoverle 层 完成 密 钥 交换 工作 , 它 为 会 话 提供 了 对 称 加 密 ， 


图 3-6 SSH 协议 体系 结构 
支持 IDEA „Blowfish 和 Twofish ,同时 为 以 后 支持 


PKI 提供 了 接口 。 

用 户 认 证 协议 为 客户 端 认证 服务 器 提供 支持 ,它们 位 于 传输 层 协议 之 上 。SSH 支持 多 
种 认证 方式 : 用 户 密码 、 公 钥 认 证 .CA 等 ,可 以 单独 使 用 一 种 认证 方式 ,也 可 以 多 种 认证 方 
式 共同 使 用 。 

连接 协议 把 多 种 加 密 隧道 复 用 为 多 个 逻辑 信道 ,它们 位 于 用 户 认证 协议 之 上 ,SSH 2.0 
提供 了 交互 会 话 、 远 程 命令 执行 和 转发 包括 X11 和 其 他 TCP 流量 传输 的 连接 等 处 理 功 能 ， 
这 些 都 被 认为 是 通道 。 一 个 单一 的 会 话 连接 可 以 处 理 多 个 通道 ,这 项 工作 由 连接 层 完 成 。 

2. 密 钥 机 制 

SSH 是 以 提供 安全 通信 为 目标 的 协议 ,其 中 必 不 可 少 的 就 是 一 套 完备 的 密 钥 机 制 。 
SSH 协议 3 个 主要 的 密 钥 : 主机 密 钥 、 服 务 器 密 钥 和 用 户 密 钥 。 

CD 主机 密 钥 : SSH 主机 密 钥 用 于 认证 SSH. 主机 (这 是 基于 主机 的 认证 ,不 是 基于 用 
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户 的 认证 ),SSH 要 求 SSH 主机 至 少 有 一 对 主机 密 钥 ,其 中 SSH 1.0 使 用 的 是 RSA 主机 密 
钥 ,SSH 2.0 使 用 DSA 主机 密 钥 。 为 防止 第 三 方 假冒 SSH 主机 ,SSH 连接 在 建立 之 前 , 双 
方 要 进行 主机 认证 ,确认 对 方 是 合法 身份 , 方 可 进行 连接 ,这 项 工作 通过 SSH. 主机 密 钥 体系 
来 完成 。 

(2) 服务 器 密 钥 : 服务 器 密 钥 是 SSH 守护 进程 用 来 识别 SSH 服务 守护 进程 是 否 正常 
运行 的 。 主 机 密 钥 和 服务 器 密 钥 都 是 生成 加 密会 话 的 因子 ,主机 密 钥 存放 在 主机 的 安全 位 
置 下 ,而 服务 器 密 钥 不 存储 于 任何 地 方 ,默认 情况 下 它 每 小 时 生成 一 次 ,这 增加 了 该 密 钥 被 
破解 的 难度 。 

(3) 用 户 密 钥 : 用 户 密 钥 用 于 认证 登录 到 主机 的 用 户 。 用 户 密 钥 可 以 是 RSA 对 也 可 
以 是 DSA 对 。 用 户 密 钥 对 由 客户 端 用 户 产生 ,其 私 钥 存放 在 客户 端 上 , 公 钥 通过 安全 的 方 
式 存放 在 服务 器 上 。 


3.3.3 SSH 传输 协议 


SSH 传输 层 协议 提供 加 密 主机 认证 \ 数 据 保密 性 和 数据 完整 性 保护 。 这 个 协议 不 提供 
用 户 认 证 。 签 名 已 经 提 到 ,SSH 认证 协议 在 SSH 传输 协议 之 上 ,如 果 服 务 进程 需要 的 话 ， 
则 可 以 由 它 来 提供 用 户 认证 。 

SSH 传输 层 协议 支持 多 种 不 同 的 密 钥 交换 ,秘密 密 钥 和 公开 密 钥 ,Hash 算法 和 消息 认 
证 算法 ,这 些 算法 的 协商 都 是 在 连接 过 程 中 完成 的 。 有 些 算法 在 协议 中 要 求 一 定 要 实现 的 ， 
而 有 些 算法 虽然 也 写 进 协 议 中 去 了 ,但 是 可 以 实现 ,也 可 以 不 实现 。 另 外 ,这 个 协议 还 考虑 
到 ,在 实际 的 应 用 当中 ,有 些 单位 可 能 希望 使 用 自己 专用 的 算法 。 这 涉及 如 何 分 配 算法 标 
W ,保证 通信 双方 之 间 能 分 辨 的 问题 。 原 则 上 来 讲 , 任 何人 都 可 以 通过 name@ domain 的 格 
式 定义 自己 的 SSH 算法 。 在 这 个 格式 中 ,name 表示 算法 的 名 字 ,domain 表示 公司 的 域名 。 

当 用 SSH 协议 来 建立 客户 机 和 服务 器 之 间 的 TCP/IP 连接 时 ,双方 首先 要 交换 标识 
串 ,这 些 标 识 串 中 包含 着 SSH 协议 和 软件 的 版 本 号 ,然后 开始 密 钥 交 换 、 所 有 的 SSH 消息 
都 要 遵守 规定 的 二 进 制 封装 协议 。 当 协议 开始 执行 时 ,还 没有 特定 的 数据 压缩 加 密 和 消息 
验证 算法 ,所 以 也 不 会 使 用 。 而 在 密 钥 交换 过 程 中 ,会 协商 和 选择 并 在 随后 的 过 程 中 使 用 数 
据 压 缩 . 加 密 和 消息 验证 算法 。 

GNU ZLIB 压缩 算法 由 PF C1950 和 RFC 1951 说 明 。 在 两 个 通信 方向 上 ,压缩 是 相互 
独立 的 ,不 同 的 方向 可 以 使 用 不 同 的 压缩 算法 。 

在 密 钥 交换 过 程 中 ,还 会 协商 出 一 个 加 密 算法 和 相应 的 加 密 密 钥 。 当 加 密 算法 开始 起 
作用 后 ,每 个 消息 中 特定 的 域 就 会 用 这 种 加 密 算法 和 相应 的 密 钥 进行 加 密 。 因 此 ,一 个 方向 
上 的 所 有 消息 可 以 被 看 成 是 一 个 数据 流 ,初始 向 量 从 一 个 消息 的 尾部 传递 给 下 一 个 消息 的 
起 始 部 分 。 在 两 个 方向 上 ,加密 是 相互 独立 的 。 一 般 来 讲 , 它 们 使 用 不 同 的 加 密 密 钥 , 当然 
也 可 以 使 用 不 同 的 加 密 算 法 。 

在 每 个 消息 中 ,都 会 增加 一 个 消息 验证 码 来 进行 数据 的 验证 和 完整 性 保护 ,这 个 消息 验 
证 码 由 共享 密 钥 .32 位 的 序列 号 和 消息 的 实际 内 容 一 起 计算 得 出 。 通 信 的 双方 不 需要 传递 
序列 号 ,但 是 这 个 序列 号 在 消息 验证 码 计算 和 验证 的 过 程 中 会 用 到 ,这样 可 以 保证 消息 没有 
丢失 ,并 防止 消息 到 达 的 顺序 出 现 混乱 。 第 一 个 消息 的 序列 号 为 0, 每 发 送 一 个 消息 ,序列 
号 加 1。 作为 SSH 消息 的 最 后 一 部 分 ,消息 验证 码 不 会 被 加 密 ,而 消息 验证 码 的 长 度 依赖 
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于 所 使 用 的 算法 。 同 样 .消息 验证 算法 和 相应 的 密 钥 在 两 个 方向 上 可 能 不 同 , 它 们 在 密 钥 交 
换 过 程 中 协商 确定 。 

目前 SSH 2.0 只 定义 了 Diffie-Hellman 交换 算法 , 它 来 自 OAKLEY 密 钥 交换 协议 。 

SSH 2. 0 几乎 支持 所 有 的 公开 密 钥 格式 、 编 码 和 算法 。 定 义 公开 密 钥 的 类 型 涉及 以 下 
几 个 方面 : 

。 密 钥 格式 密 钥 的 编码 方式 和 认证 的 表达 方式 。 

。 签名 和 加 密 算 法 有 些 密 钥 类 型 可 能 不 能 同时 支持 签名 和 加 密 。 

。 签名 后 或 加 密 后 的 数据 编码 SSH 2.0 已 经 定义 了 公开 密 钥 和 认证 格式 。 

简单 来 讲 ,SSH 传输 层 协 议 需要 经 过 下 列 3 个 步骤: 

CD 密 钥 交换 。 从 双方 开始 发 送 自己 能 支持 的 算法 (压缩 `. 加 密 、 验 证 ) ,根据 接收 到 的 
对 方 的 算法 进一步 协商 出 一 致 的 算法 。 

(2) 进行 密 钥 交换 (Diffie-Hellman)。 

G) 开始 服务 请 求 。 

最 后 一 步 是 在 SSH 传输 层 协 议 执 行 快 完 成 时 执行 的 ,就 是 客户 端 通过 发 送 SSH 
SERVICE REQUEST 消息 给 服务 器 端 。 目 前 已 经 定义 的 服务 有 两 种 : ssh-userauth 和 
ssh-connection。 如 果 服 务 器 端 支持 这 里 提出 的 服务 并 且 人 允许 客户 端 使 用 这 个 服务 ,就 会 返 
回 一 个 SSH. SERVICE ACCEPT 消息 。 一旦 选 定 了 特定 的 服务 ,在 SSH_SERVICE_ 
DATA 消息 中 ,就 开始 传输 数据 。 当 服务 器 端 或 客户 端 停止 传送 数据 时 ,就 会 发 送 SSH_ 
SERVICE_EOF 消息 给 对 方 。 当 双方 都 同意 关闭 连接 时 , 则 会 发 送 SSH_STREAM _ 
CLOSE 消息 给 对 方 , 于 是 这 个 协议 过 程 就 结束 了 。 


3.3.4 SSH 身份 认证 协议 


客户 利用 传输 层 协 议 向 服务 器 提出 用 户 身 份 认证 服务 请 求 , 若 服务 器 接受 这 个 请 求 , 双 
方 即 可 开始 执行 SSH 身份 认证 协议 。 身 份 认证 协议 在 传输 层 协 议 所 建立 的 安全 通道 上 运 
行 。 当 一 次 身份 认证 失败 时 ,客户 端 可 以 再 次 提出 认证 请 求 , 但 重 试 的 时 间 间 隔 和 次 数 并 不 
是 无 限 的 。 如 果 在 10 分 钟 之 内 没有 成 功 完成 认证 ,或 重 试 次 数 已 经 超过 20 次 ,服务 器 会 返 
回 SSH_MSG_DISCONNECT 消息 并 断 开 连 接 。 在 认证 成 功 后 的 通信 过 程 中 ,客户 端 也 可 
以 随时 提出 新 的 认证 请 求 。 

和 加 密 算法 一 样 ,SSH 协议 中 已 经 定义 了 一 些 用 户 认证 方法 ,也 可 以 用 name@domain 
的 格式 来 增加 新 的 用 户 认 证 方法 。 通 过 这 种 方式 ,有 需要 的 单位 可 以 使 用 自己 的 认证 方法 。 
SSH 认证 协议 中 已 经 定义 的 认证 方法 如 表 3-2 所 示 。 

表 3-2 SSH 支持 的 认证 方法 
值 认证 方法 值 认证 方法 值 认证 方法 


password 口令 认证 publickey 公开 密 钥 认证 hostbased | 基于 客户 机 的 认证 


在 认证 时 ,客户 端 发 送 SSH MSG USERAUTH REQUEST 消息 ,后 面 跟 随 下 列 
AX: 

。 用 户 名 ; 

。 RJZ: 
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。 方法 名 ; 

。 其 他 和 方法 相关 的 域 。 

其 中 方法 名 就 是 表 3-2 中 的 值 。 服 务 器 端 会 返回 SSH_ MSG_ USERAUTH . 
FAILURE 表示 认证 失败 ,或 SSH_MSG_USERAUTH SUCCESS 表示 认证 成 功 。 如 果 服 
务 器 返回 SSH_MSG_USERAUTH_FAILURE, 则 客户 端 可 以 继续 选择 其 他 的 认证 方式 ， 
以 进行 其 他 的 认证 。 如 果 服 务 器 端 发 送 SSH_MSG_USERAUTH_SUCCESS 表明 认证 成 
功 ,但 实际 上 认证 过 程 已 经 结束 ,后 面 发 送 的 消息 就 可 以 忽略 。 


3.3.5 SSH 连接 协议 


SSH 连接 协议 允许 在 SSH 传输 层 协议 和 SSH. 用 户 认证 协议 之 上 , 它 提供 交互 的 登录 
会 话 、 执 行 远 程 命令 、 转 发 TCP/IP 连接 和 转发 X11 连接 。 这 个 协议 的 服务 名 字 是 
ssh-connection , 

由 于 连接 协议 的 目的 是 把 已 经 加 密 的 隧道 提供 给 多 个 应 用 程序 复 用 ,因此 它 需 要 一 个 
能 区 分 不 同 应 用 程序 的 方法 。SSH 连接 协议 引入 了 通道 (channel) 的 机 制 ,所 有 的 终端 会 
话 、 转 接连 接 都 是 通道 。 多 个 通道 被 复 用 成 一 个 连接 。 对 于 每 一 端 来 说 ,通道 用 数字 来 标 
识 。 在 两 端 标明 同一 个 通道 的 数字 可 能 不 同 。 当 一 个 通道 打开 时 ,请 求 打 开通 道 的 消息 同 
时 会 包含 发 送 方 的 通道 号 。 接 收 方 也 给 新 的 通道 分 配 一 个 自己 的 通道 号 。 在 以 后 的 通信 过 
程 中 ,只 要 让 这 两 个 通道 号 一 一 对 应 就 可 以 了 。 如 果 向 对 方 请 求 打 开 一 个 通道 , 则 需要 发 送 
一 个 SSH. MSG CHANNEL OPEN 消息 ,同时 还 要 告诉 对 方 自己 的 通道 号 和 初始 的 窗口 
大 小 ,因此 会 有 如 下 内 容 : 

* SSH_MSG_CHANNEL_OPEN; 

。 通道 类 型 ; 

。 发 送 方 通道 号 ; 

。 初始 窗口 大 小 ; 

。 最 大 包 大 小 ; 

。 和 通道 类 型 相关 的 其 他 内 容 。 

远 端 会 返回 一 个 消息 ,表明 这 个 通道 是 否 可 以 打开 。 根 据 实 际 情 况 ,可 能 会 返回 SSH_ 
MSG_CHANNEL_OPEN_CONFIRMATION 消息 ,用 来 表明 通道 已 经 成 功 打开 或 返回 
SSH_MSG_CHANNEL_OPEN_FAILURE 表明 通道 打开 失败 。 通 道 打开 之 后 ,就 可 以 进 
行 数据 传输 了 。 

当 通 信和 的 一 方 不 再 需要 进行 数据 传输 时 ,就 应 该 发 出 SSH_MSG_CHANNEL_EOF il 
E ,消息 中 包含 需要 关闭 的 通道 号 。 当 任何 一 方 决定 关闭 通道 时 ,就 会 发 送 SSH_MSG 
CHANNEL_CLOSE 消息 。 另 一 方 在 接收 到 这 个 消息 之 后 ,也 会 发 送 SSH_ MSG_ 
CHANNEL CLOSE 消息 。 如 果 知 道 双方 都 同意 关闭 通道 , 则 通道 会 被 关闭 。 


3.3.6 SSH 协议 的 应 用 


SSH 最 常见 的 应 用 就 是 用 它 来 取代 传统 的 Telnet, FTP 等 网 络 应 用 程序 ,通过 SSH 登 
录 到 远方 机 器 执行 各 种 命令 。 在 不 安全 的 网 路 通信 环境 中 , 它 提供 了 验证 机 制 与 非常 安全 
的 通信 环境 。SSH 开发 者 的 原意 是 设计 它 来 取代 原 UNIX 系统 上 的 rcp、rlogin 和 rsh 等 指 
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令 程序 的 ;但 经 过 适当 包装 后 ,发 现 它 在 功能 上 完全 可 以 取代 传统 的 Telnet, FTP 等 应 用 
程序 。 
传统 BSD 风格 的 r 系列 指令 (如 rep, rsh 和 rlogin) 往 往 都 被 视 为 不 安全 的 ,很 容易 就 
被 各 种 网 络 攻击 手段 所 破解 ,而 用 来 替代 r 系列 指令 的 SSH, 则 在 安全 方面 做 了 强化 ,不 但 
对 通信 内 容 可 以 进行 安全 的 加 密 保护 ,同时 也 强化 了 对 身份 验证 的 安全 机 制 , 它 应 用 了 在 密 
码 学 中 已 发 展 出 来 的 数 种 安全 加 密 机 制 来 加 强 对 于 身份 验证 与 通信 内 容 的 安全 保护 。 对 于 
消息 的 加 密 有 IDEA ,three-key triple DES, DES, RC4-128. TSS 和 Blowfish 等 多 种 安全 加 
密 算法 可 供 选 择 , 加 密 的 密 钥 可 以 通过 RSA 进行 交换 。 消 息 的 加 密 可 以 对 抗 IP spoofing, 
RSA 这 种 非 对 称 性 的 加 密 机 制 则 可 用 来 对 抗 DNS spoofing 与 IP routing spoofing, 同 时 
RSA 也 可 以 进行 对 主机 身份 的 验证 。 
其 次 ,通过 使 用 SSH 可 以 在 本 地 主机 和 远程 服务 器 之 间 设 置 “ 加 密 通道 ”, 并 且 这 样 设 
置 的 “加 密 通道 ”可 以 跟 常见 的 Pop 应 用 程序 、X 应 用 程序 和 Linuxconf 应 用 程序 相 结 合 ， 
供 安 全 保障 。 
2002 年 3 月 25 H IETF 成 立 专门 的 Secure Shell 工作 组 ,该 组 的 目标 是 更 新 和 标准 化 
现行 的 SSH 协议 ,以 使 SSH 能 够 提供 安全 远程 登录 ,安全 文件 传输 以 及 安全 的 TCP/IP 和 
X11 转发 等 服务 。 
目前 ,有 关 SSH 协议 的 扩展 Internet 草案 包括 : SSH 普通 消息 的 交换 认证 ;SSH 文件 
传输 协议 ;SSH 协议 中 的 GSSAPI 认证 和 密 钥 交换 ;SECSH 公 钥 文件 格式 ;SSH 传输 层 协 
议 的 Diffie-Hellman 组 交换 ;在 DNS 中 存储 SSH. 主机 密 钥 ;SSH 代理 转发 ;SSH 指纹 格 
SSH 协议 发 布 了 两 种 版 本 , 即 版 本 1(SSH1. 5 协议 ) 和 版 本 2(SSH2. 0 协议 )。 版 本 1 
是 一 个 完全 免费 的 软件 包 , 包 含 几 种 专利 算法 (但 其 中 有 几 种 已 经 过 期 ) 且 存在 一 些 明显 的 
安全 漏洞 (如 允许 在 数据 流 中 插入 数据 ) ;而 版 本 2 安全 性 得 到 较 大 的 提高 ,但 在 商业 使 用 时 
则 要 付费 。 概 括 来 说 ,SSH 协议 主要 提供 如 下 几 种 安全 服务 。 
。 安全 远程 登录 。 用 户 可 以 用 SSH 完成 Telnet, Rlogin 能 够 完成 的 任何 事情 。 登 录 
后 所 有 的 通信 数据 都 受到 加 密 保护 。 

* TCP 端口 转发 。 利 用 SSH 既 可 以 进行 本 地 端口 的 流量 转发 ,也 可 以 进行 远程 端口 
的 流量 转发 ,甚至 可 以 结合 PPP 协议 组 建 虚拟 专用 网 。 

。 安全 远程 执行 命令 。 使 用 SSH 协议 ,同样 可 调用 shell 程序 ,由 于 建立 连接 之 后 的 
所 有 数据 都 经 过 加 密 , 因 此 在 SSH 建立 连接 后 ,远程 执行 命令 时 所 有 的 通信 都 被 
加 密 。 

。 安全 远程 文件 传输 。SSH 允许 通过 客户 端 程序 SCP 进行 文件 的 远程 复制 。 在 SSH 

协议 版 本 2 中 更 提供 了 SFTP 的 安全 文件 传输 服务 。 

。 义 窗口 连接 转发 。SSH 提供 的 一 个 重要 功能 就 是 X 转发 功能 , 它 可 以 在 客户 端的 

显示 屏 上 把 服务 器 端 X 程序 的 运行 结构 以 图 形 形 式 现实 在 客户 端 。 


3.3.7 SSH 安全 性 分 析 
SSH 是 一 种 通用 ,功能 强大 的 基于 软件 的 网 络 安全 解决 方案 ,计算 机 每 次 向 网 络 发 送 
数据 时 ,SSH 都 会 自动 对 其 进行 加 密 。 数 据 到 达 目 的 地 时 ,SSH 自动 对 加 密 数据 进行 解密 。 
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整个 过 程 都 是 透明 的 。 它 使 用 了 现代 的 安全 加 密 算法 ,足以 胜任 大 型 公司 的 任务 繁重 的 应 
用 程序 的 要 求 。 

1. SSH 协议 的 主要 安全 特性 和 优点 

(1) 使 用 强加 密 技术 来 保证 数据 的 私密 性 。 端 到 端 通信 用 随机 密 钥 进行 加 密 , 随 机 密 
钥 为 会 话 进行 安全 协商 ,会 话 结 束 后 被 丢弃 。 支 持 的 算法 有 DES、IDEA、3DES 等 。 

(2) 通信 完整 性 ,确保 通信 不 会 被 修改 。SSH-2 基于 MD5 和 SHA-1 的 加 密 Hash 
算法 。 

(3) 认证 , 即 发 送 者 和 接收 者 的 身份 证 明 。 客 户 和 服务 器 双向 认证 。 

(4) 授权 , 即 对 账号 进行 访问 控制 。 

(5) 使 用 转发 或 隧道 技术 对 其 他 基于 TCP/IP 的 会 话 进行 加 密 。 

2. SSH 可 以 防止 的 攻击 

CD 对 于 网 络 窃听 ,SSH 通信 是 加 密 的 ,即使 会 话 内 容 被 截获 ,也 不 能 将 其 解密 。 

(2) 对 于 名 字 服 务 和 IP 伪装 ,SSH 通过 加 密 验 证 服务 器 主机 身份 可 避免 这 类 风险 。 

CD 对 于 连接 劫持 ,SSH 的 完整 性 检测 负责 确定 会 话 在 传输 过 程 是 否 被 修改 ,如 果 被 修 
改过 ,就 关闭 连接 。 

(4) 对 于 中 间 人 攻击 ,SSH 利用 两 种 方法 防止 这 种 攻击 ,一 种 是 服务 器 主机 认证 。 除 非 
攻击 者 已 经 成 功 攻击 了 服务 器 主机 ,获得 服务 器 的 私有 主机 密 钥 。 另 一 种 是 限制 使 用 容易 
受到 这 种 攻击 的 认证 方法 ,密码 认证 容易 受到 中 间 人 攻击 ,而 公 钥 和 基于 主机 的 
/RhostsRSA 则 对 中 间 人 攻击 可 以 免疫 。 

(5) 对 于 插入 攻击 ,SSH-1 的 完整 性 检查 机 制 是 非常 脆弱 的 。SSH-1 后 续 版 本 和 
Open SSH 的 所 有 版 本 都 专门 进行 了 设计 ,来 检测 并 防止 这 种 攻击 。 这 种 检测 程序 增 大 了 
搬入 攻击 的 难度 ,但 是 并 不 能 完全 防止 。SSH-2 使 用 强加 密 完整 性 检测 手段 来 防止 这 个 问 
题 。 可 以 用 3DES 算法 来 防止 这 种 攻击 。 

3. SSH 不 能 防止 的 攻击 

CD 对 于 密码 崩溃 ,密码 认证 是 一 种 脆弱 的 认证 形式 ,尽量 使 用 公 钥 认证 方式 。 如 果 必 
须要 密码 认证 ,可 考虑 使 用 S/ Key 这 样 的 一 次 性 密码 机 制 。 

(2) 对 于 IP AND TCP 攻击 ,由 于 SSH 是 在 TCP 之 上 进行 操作 的 ,因此 容易 受到 针对 
TCP £i IP 缺陷 而 发 起 的 攻击 。SYN flood. TCP 不 同步 和 TCP 劫持 等 。 只 能 通过 更 低层 
的 防护 措施 来 保护 。 

SSH 不 能 防止 的 攻击 还 有 流量 分 析 、 隐 秘 通 道 。 

安全 是 一 个 过 程 ,而 不 是 一 个 产品 ,不 要 认为 装 上 SSH 就 安全 了 ,粗心 大 意 也 会 给 攻击 
者 带 来 可 乘 之 机 。 


3.4 SET 协议 


3.4.1 SET 协议 概述 


SET(Secure Electronic Transaction ,安全 电子 交易 协议 ) 是 由 美国 Visa 和 MasterCard 
两 大 信用 卡 组 织 提出 的 应 用 于 Internet. 上 的 以 信用 卡 为 基础 的 电子 支付 系统 协议 。 它 采用 
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公 钥 密码 体制 和 x. 509 数字 证 书 标准 ,应 用 于 B to C 模式 中 ,保障 支付 信息 的 安全 性 。 
SET 协议 本 身 比较 复杂 ,设计 比较 严格 ,安全 性 高 . 它 能 保证 信息 传输 的 机 密 性 、 真 实 性 \ 完 
整 性 和 不 可 否认 性 。 

SET 协议 是 PKI 框架 下 的 一 个 典型 实现 ,同时 也 在 不 断 升 级 和 完善 ,如 SET 2.0 将 支 
持 借 记 卡 电子 交易 。 

1. SET 的 主要 目标 

(1) 信息 在 Internet 上 的 安全 传输 ,保证 网 上 传输 的 数据 不 被 黑客 窃听 。 

(2) 订单 信息 和 个 人 账号 信息 的 隔离 ,在 将 包括 持 卡 人 账号 信息 的 订单 送 到 商家 时 , 商 
家 只 能 看 到 订货 信息 ,而 看 不 到 持 卡 人 的 账户 信息 。 

(3) 持 卡 人 和 商家 相互 认证 ,以 确定 通信 双方 的 身份 。 一 般 由 第 三 方 机 构 负责 为 在 线 
通信 方 提供 信用 担保 。 

(4) 要 求 软 件 遵循 相同 的 协议 和 消息 格式 ,使 不 同 厂家 开发 的 软件 具有 兼容 和 互 操作 
功能 ,并 且 可 以 运行 在 不 同 的 硬件 和 操作 系统 平台 上 。 

2. SET 规范 涉及 的 范围 

。 加 密 算法 的 应 用 (例如 RSA 和 DES); 
证 书信 息 和 对 象 格式 ; 
。 购买 信息 和 对 象 格式 ; 
认可 信息 和 对 象 格式 ; 
* 划 账 信息 和 对 象 格式 。 
对 话 实体 之 间 消 息 的 传输 协议 。 

3. SET 系统 的 构成 

1) 持 卡 人 

在 电子 商务 环境 中 ,消费 者 和 团体 购买 者 通过 计算 机 与 商家 交流 , 持 卡 人 通过 由 发 卡 机 
构 颁发 的 付款 卡 (例如 信用 卡 、 借 记 卡 ) 进 行 结算 。 在 持 卡 人 和 商家 的 会 话 中 ,SET 可 以 保 
证 持 卡 人 的 个 人 账号 信息 不 被 泄露 。 

2) 发 卡 机 构 

它 是 一 个 金融 机 构 ,为 每 一 个 建立 了 账户 的 顾客 颁发 付款 卡 ,发 卡 机 构 根据 不 同 品牌 卡 
的 规定 和 政策 ,保证 对 每 一 笔 认证 交易 的 付款 。 

3) 商家 

提供 商品 或 服务 ,使 用 SET 就 可 以 保证 持 卡 人 个 人 信息 的 安全 。 接 受 卡 支付 的 商家 必 
须 和 银行 有 关系 。 


4) 银行 
在 线 交 易 的 商家 在 银行 开 立 账号 ,并 且 处 理 支 付 卡 的 认证 和 支付 。 
5) 支付 网 关 


支付 网 关 是 由 银行 操作 的 ,将 Internet 上 的 传输 数据 转换 为 金融 机 构 内 部 数据 的 设备 ， 
或 由 指派 的 第 三 方 处 理 商家 支付 信息 和 顾客 的 支付 指令 。 

4. SET 协议 的 特点 

1) 信息 的 保密 性 

持 卡 人 的 账号 信息 及 支付 信息 在 网 络 上 传送 是 安全 的 。SET 的 一 个 重要 特点 是 持 卡 
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人 的 信用 卡号 码 只 提供 给 银行 ,而 商家 是 无 法 知道 信用 卡号 码 的 。SET 利用 DES 密码 算 
法 提供 信息 的 保密 性 。 

2) 数据 的 完整 性 

从 持 卡 人 发 往 商 家 的 支付 信息 包括 订购 信息 .个 人 数据 及 支付 指令 。SET 是 通过 引入 
RSA 数字 签名 及 SHA-1 杂 凌 函数 确保 这 些 消 息 的 内 容 在 传输 过 程 中 不 被 非法 更 改 。 

3) 持 卡 人 账号 的 鉴别 

SET 可 以 让 商家 鉴别 持 卡 人 是 否 是 有 效 信 用 卡 账 号 的 合法 用 户 。SET 采用 X. 509v3 
数字 证 书 和 RSA 数字 签名 算法 达到 了 这 一 目的 。 

4) 商家 的 鉴别 

SET 使 持 卡 人 可 以 鉴别 商家 的 真实 性 ,而 且 可 以 验证 商家 与 金融 机 构 是 否 是 建立 了 业 
务 联系 的 ,使 得 商家 可 以 接受 信用 卡 支付 。 

5. SET 协议 的 应 用 

SET 主要 应 用 于 保证 支付 信息 的 保密 性 以 及 与 之 一 起 的 订单 信息 的 保密 性 ,保证 所 有 
传输 信息 的 完整 性 ,对 持 卡 人 是 某 一 品牌 支付 卡 账号 的 合法 用 户 进 行 认证 ;对 商家 可 以 接受 
某 一 品牌 支付 卡 交易 进行 认证 ;保证 最 好 的 安全 应 用 和 系统 设计 来 保护 在 电子 商务 交易 中 
的 每 一 个 参与 者 ;设计 的 电子 商务 协议 与 其 安全 协议 应 具有 独立 性 。 


3.4.2 SET 协议 基本 流程 
SET 协议 的 工作 流程 如 图 3-7 所 示 。 


客户 =| 商家 [一 =| 支付 关系 [=| 收 单 银行 | 


Dm 


图 3-7 SET 协议 的 工作 流程 


SET 协议 规定 的 工作 流程 分 以 下 3 个 阶段 。 

1. 购买 请 求 阶段 

持 卡 人 选 购 商 品 ,确定 支付 方式 ,向 商家 发 送 购 货 单 和 一 份 经 过 签名 、 加 密 的 信托 书 , 书 
中 的 信用 卡号 是 经 过 加 密 的 ,商家 无 从 得 知 。 

2. 支付 确认 阶段 

商家 把 信托 书 传送 到 收音 银行 , 收 单 银行 可 以 解密 信用 卡号 ,并 通过 认证 验证 签名 ; 收 
单 银行 向 发 卡 银行 查 问 ,确认 持 卡 人 的 信用 卡 是 否 属实 ;属实 则 发 卡 银行 认可 并 签证 该 笔 交 
易 , 收 单 银 行 认可 商家 并 签证 此 交易 ,最 后 商家 向 客户 传送 货物 和 收据 。 

3. 收 款 阶 段 

交易 成 功 ,商家 向 收 单 银行 出 示 所 有 交易 的 细节 条 款 , 收 单 银 行 按 合同 将 货款 划 给 商 
家 ;发 卡 银行 向 用 户 定期 寄 去 信用 卡 消费 账单 。 

SET 协议 在 一 般 使 用 环境 下 的 工作 步骤 如 下 。 

O 持 卡 人 利用 电子 商务 平台 选 定 物品 ,并 提交 订单 。 

© 接收 订单 ,生成 初始 应 答 消息 ,数字 签名 后 与 商家 证 书 、 支 付 网 关 证 书 一 起 发 送 给 持 
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TA. 

C 持 卡 人 对 应 答 信 息 进行 处 理 , 选 择 支付 方式 ,确认 订单 ,签发 付款 指令 ,将 订单 信息 
和 支付 信息 进行 双 签 名 , 它 对 双 签 名 后 的 信息 利用 支付 网 关公 钥 加 密 的 支付 信息 签名 后 连 
同 自己 的 证 书 发 送 给 商家 (商家 看 不 到 持 卡 人 的 账号 信息 ) 。 

CD 验证 持 卡 人 证 书 和 双 签名 后 ,生成 支付 认可 请 求 ,并 连同 加 密 的 支付 信息 转发 给 支 
付 网 关 。 


3.4.3 SSL 和 SET 协议 比较 


事实 上 ,SET 和 SSL 除了 都 采用 RSA 公 钥 算法 以 外 ,二 者 在 其 他 技术 方面 没有 任何 相 
似 之 处 ,并 且 RSA 在 二 者 中 也 被 用 来 实现 不 同 的 安全 目标 。 

SET 协议 比 SSL 协议 复杂 ,因为 SET 不 仅 加 密 两 个 端点 间 的 单个 会 话 , 它 还 非常 详细 
而 准确 地 反映 了 卡 交易 各 方 之 间 存 在 的 各 种 关系 。SET 还 定义 了 加 密 信息 的 格式 和 完成 
一 笔 卡 支付 交易 过 程 中 各 方 传输 信息 的 规则 。 事 实 上 ,SET 远 远 不 只 是 一 个 技术 方面 的 协 
议 , 它 还 说 明了 每 一 方 所 持 有 的 数字 证 书 的 合法 含义 ,希望 得 到 数字 证 书 以 及 响应 信息 的 各 
方 应 有 的 动作 ,与 一 笔 交 易 紧 密 相关 的 责任 分 担 。SET 实现 起 来 非常 复杂 ,商家 和 银行 都 
需要 改造 系统 以 实现 互 操作 。 另 外 ,SET 协议 需要 认证 中 心 的 支持 。 

SET 是 一 个 多 方 的 报 文 协议 , 它 定 义 了 银行 .商家 、 持 卡 人 之 间 必 需 的 报 文 规范 ,与 此 
同时 ,SSL 只 是 简单 地 在 两 方 之 间 建 立 了 一 条 安全 连接 。SSL 是 面向 连接 的 ,而 SET 允许 
各 方 之 间 的 报 文 交换 不 是 实时 的 。SU 报 文 能 够 在 银行 内 部 网 或 者 其 他 网 络 上 传输 ,而 
SSL 之 上 的 卡 支付 系统 只 能 与 Web 浏览 器 捆绑 在 一 起 。 


3.4.4 SET 协议 安全 性 分 析 


SET 协议 过 于 复杂 庞大 ,也 有 许多 不 足 之 处 。 在 利用 SET 协议 实施 电子 商务 平台 时 
还 是 可 以 进行 周全 考虑 和 加 以 改进 的 。 

(D SET 协议 中 没有 支持 不 可 抵赖 的 描述 ,尽管 采用 了 数字 签名 技术 ,在 一 定 程度 上 支 
持 了 不 可 抵赖 特性 。 事 实 上 SET 协议 中 只 是 规定 了 支付 网 关 对 持 卡 人 的 数字 签名 进行 了 
验证 ,而 发 卡 行 没 有 验证 。 我 们 在 实施 这 个 协议 时 ,当然 不 能 在 每 次 交易 时 都 要 求 发 卡 行 和 
收 单行 同时 验证 其 双重 签名 等 ,这 样 会 大 大 增加 工作 量 , 降 低 效率 。 只 有 在 发 生 纠纷 时 , 才 
将 持 卡 人 、 客 户 的 双重 数字 签名 等 送 到 发 卡 行 验证 后 由 收 单行 处 理 纠纷 。 这 样 在 实施 电子 
商务 平台 时 可 增加 一 种 纠纷 处 理 机 制 。 

(2) 从 上 述 协议 流程 中 可 以 看 出 ,银行 网 关 具 有 很 大 的 权力 ,可 以 认可 该 交易 的 成 功 与 
否 。 若 偏 祖 任何 一 方 , 将 损害 另 一 方 的 权益 。 这 一 点 当然 与 信用 卡 商 制 订 SET 协议 的 自身 
立场 相关 。 可 以 采取 两 个 策略 改进 : 支付 网 关 设 立 电子 公告 板 , 公 告 每 次 交易 的 签名 散 列 
值 ,提供 质询 ,客户 商家 均 可 查询 ;增加 一 个 类 似 公证 性 质 的 职能 机 构 ,该 机 构 用 以 备份 交易 
中 的 双重 签名 及 持 卡 者 和 商家 的 有 关 信 用 认证 信息 。 

(3) SET 协议 的 赁 证 证 书 格式 只 是 要 求 遵守 x. 509 规范 ,并 没有 强调 要 求 各 种 不 同 的 
应 用 环境 兼容 。 所 以 在 建立 电子 商务 平台 时 ,应 尽 可 能 考虑 证 书 的 兼容 性 ,周密 设计 其 扩展 
域 以 易于 过 渡 到 不 同 的 交易 平台 。 

(4) SET 协议 的 安全 在 一 定 程度 上 也 依赖 于 外 部 环境 。 如 HTTP 及 SMTP 两 个 协 
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议 浏览 器 与 电子 邮件 的 实时 性 等 ,SET 协议 实施 时 有 可 能 出 现 许多 问题 ,要 求 用 户 能 统筹 
考虑 , 尽 可 能 提高 系统 的 安全 性 。 


3.5 IPSec 协议 


3.5.1 IPSec 体系 结构 


IPSec 是 指 IETF 以 RFC 形式 公布 的 一 组 安全 IP 协议 集 , 是 在 IP 包 中 为 IP 业务 提供 
保护 的 安全 协议 标准 ,其 基本 目的 就 是 把 安全 机 制 引入 IP 协议 ,通过 使 用 现代 密码 学 方法 
支持 机 密 性 和 认证 性 服务 ,使 用 户 能 有 选择 地 使 用 ,并 得 到 所 期 望 的 安全 服务 。IPSec 将 几 
种 安全 技术 结合 形成 一 个 比较 完整 的 安全 体系 结构 , 它 通过 在 IP 协议 中 增加 两 个 基于 密码 
的 安全 机 制 一 一 认证 头 (AH) 和 封装 安全 有 效 负载 (ESP) ,来 支持 IP 数据 项 的 认证 、 完 整 性 
和 机 密 性 。 通 过 IP 安全 协议 和 密 钥 管理 协议 构建 起 IP 层 安全 体系 结构 的 框架 ,能 保护 所 
有 基于 IP 的 服务 或 应 用 。 当 这 些 安全 机 制 正确 实现 时 , 它 不 会 对 用 户 、 主 机 和 其 他 未 采用 
这 些 安全 机 制 的 Internet 部 件 有 负面 影响 。 由 于 这 些 安全 机 制 是 独立 于 算法 的 ,所 以 在 选 
择 和 改变 算法 时 不 会 影响 其 他 部 分 的 实现 ,对 用 户 和 上 层 应 用 程序 是 透明 的 。IPSec 的 设 
计 既 适用 于 IPv4 又 适用 于 IPv6, CE IPv4 中 作为 一 个 建议 的 可 选 服务 ,对 于 IPv6 是 一 项 
必须 支持 的 功能 。 

IPSec H IPSec 安全 协议 (AH/ESP) 和 和 密 钥 管理 协议 (IKE) 组 成 。 其 安全 结构 包括 以 
下 4 个 基本 部 分 : 安全 协议 .安全 联盟 .安全 策略 、 密 钥 管理 。 

IPSec 的 安全 协议 定义 了 如 何 通过 在 IP 数据 包 中 增加 扩展 头 和 字段 来 保证 IP. 包 的 机 
密 性 ,完整 性 和 可 认证 性 。IPSec 使 用 一 种 称 为 安全 联盟 (Security Associations. SAO 的 概 
念 性 实体 集中 存放 所 有 需要 记录 的 协商 细节 。 因 此 ,在 SA 中 包含 了 安全 通信 所 需 的 所 有 
信息 ,可 以 将 SA 看 做 是 一 个 由 通信 双方 共同 签署 的 有 关 安 全 通信 的 “合同 ”。IPSec 通过 安 
全 策略 (Security Policy,SP) 为 用 户 提供 了 一 种 描述 安全 需求 的 方法 ,允许 用 户 使 用 安全 策 
略 来 定义 所 保护 的 对 象 .安全 措施 以 及 密码 算法 等 。 安 全 策略 由 安全 策略 数据 库 (Security 
Policy Database,SPD) 来 维护 和 管理 。 其 密 钥 管 理 考 虑 了 IPSec 协议 的 独立 性 ,将 SA 和 密 
钥 的 管理 分 开 ,采用 IKE. 协议 定义 通信 实体 间 的 身份 认证 、 创 建安 全 联盟 .协商 加 密 算 法 以 
及 生成 共享 会 话 密 钥 。 

IPSec 可 在 主机 或 网 关上 实现 ,使 系统 能 选择 所 需要 的 安全 机 制 .决定 使 用 的 算法 和 密 
钥 以 及 使 用 的 方式 ,在 TP. 层 提供 所 要 求 的 安全 服务 。IPSec 提供 的 安全 功能 包括 访问 控 
制 .无 连接 完整 性 .数据 起 源 认证 、 抗 重 放 攻击 和 机 密 性 。 由 于 这 些 安全 服务 是 在 TP 层 提供 
的 ,所 以 可 为 任何 高 层 协议 ,如 TCP.`UDP ICMP、BGP 等 使 用 。 

IPSec 定义 了 两 种 安全 机 制 ESP 和 AH, 并 以 IP 扩展 头 的 方式 增加 到 IP 包 中 ,以 支持 
IP 数据 项 的 安全 性 。 用 于 对 IP 数据 包 或 上 层 协议 数据 包 实施 数据 机 密 性 和 完整 性 保护 。 
ESP 和 AH 提供 的 安全 能 力 不 同 ,处 理 开 销 也 不 同 。AH 只 提供 了 数据 完整 性 认证 机 制 ， 
处 理 开 销 小 ;ESP 同时 提供 了 数据 完整 性 认证 和 数据 加 密 传输 机 制 ,处 理 开 销 大 。AH 和 
ESP 协议 可 以 分 别 单独 使 用 ,也 可 以 联合 使 用 。 

IPSec 具有 两 种 通信 模式 : 传输 模式 、 隧 道 模式 。 两 种 模式 的 区 别 是 其 所 保护 的 内 容 不 
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相同 : 一 个 是 了 了 包 ,一 个 是 IP 载荷 。 

传输 模式 (transport mode) 只 对 上 层 协议 数据 和 选择 的 IP 头 字段 提供 认证 保护 , 且 仅 
适用 于 主机 实现 。 在 传输 模式 中 , AH 和 ESP 保护 的 是 传输 头 。 在 这 种 模式 中 ,AH 和 
ESP 会 拦截 从 传输 层 到 网 络 层 的 数据 包 , 并 根据 具体 的 配置 提供 安全 保护 。 

隧道 模式 (tunnel mode) 对 整个 IP 数据 项 提供 认证 保护 , 既 可 用 于 主体 也 可 用 于 安全 
网 关 ,并 且 当 AH 在 安全 网 关上 实现 时 ,必须 采用 隧道 模式 。 此 外 , 当 数据 包 最 终 目的 地 不 


用 IPSec。 假 如 安全 性 需 由 一 个 设备 来 提供 ,而 该 设备 并 非 数 据 包 的 始 发 点 ;或 者 数据 包 需 
要 保密 传输 到 与 实际 目的 地 不 同 的 另 一 个 目的 地 , 便 需 要 采用 隧道 模式 。 

传输 模式 、 隧 道 模式 和 IPSec 的 安全 协议 相 结合 有 4 种 可 能 : 在 传输 模式 中 的 ESP、 在 
隧道 模式 中 的 ESP、 在 传输 模式 中 的 AH 和 在 隧道 模式 中 的 AH。 在 实际 应 用 中 ,隧道 模式 
的 AH 往往 不 被 采用 ,这 是 因为 它 保护 的 数据 与 在 传输 模式 中 AH 保护 的 数据 是 一 样 的 。 


3.5.2 验证 文件 头 协议 AH 


验证 文件 头 协 议 AH (Authentication Header) 是 为 IP 数据 项 提供 强 认 证 的 一 种 安全 
机 制 , 它 能 为 IP 数据 项 提供 无 连接 完整 性 、 数 据 起 源 认证 和 抗 重播 攻击 。 数 据 完 整 性 是 通 
过 消息 认证 码 产生 的 校 验 值 来 保证 的 ,数据 起 源 认 证 是 通过 在 数据 包 中 包含 一 个 将 要 被 认 
证 的 共享 秘密 或 密 钥 来 保证 的 , 抗 重播 攻击 是 通过 在 AH 中 使 用 一 个 序列 号 来 实现 的 。 除 
了 机 密 性 外 ,AH 可 提供 ESP 能 够 提供 的 一 切 东西 ,只 是 AH 不 对 保护 的 TP 数据 包 的 任何 
部 分 进行 加 密 , 因 此 ,AH 不 需要 加 密 算法 , 仅 需要 一 个 认证 算法 。 而 且 AH 提供 的 数据 完 
整 性 与 ESP 的 数据 完整 性 稍 有 不 同 : AH 对 外 部 IP 头 各 部 分 进行 身份 验证 。 相 比 之 下 ， 
AH 认证 的 范围 更 宽 。 

1. AH 格 

AH 可 用 来 保护 一 个 上 层 协 议 ( 传 输 模 式 ) 或 一 个 完整 的 数据 包 ( 隧 道 模式 ) ,在 两 种 情 
况 下 AH 头 都 会 紧 跟 在 一 个 IP 头 后 。AH 是 一 个 IP 协议 , 受 AH 保护 的 IP 包 是 另 一 个 IP 
包 。 因 此 ,AH 可 单独 使 用 ,或 与 ESP 联合 使 用 。 


T-—TX 有 效 载荷 长 度 保留 
(8 位 ) (8 位 ) (6 位 )| AH KIE ESP 头 简单 得 多 ,因为 它 没有 提供 机 密 
dicas 性 。 由 于 不 需要 填充 和 一 个 填充 长 度 指示 器 , 因 
序列 号 (Sequence number) 此 也 不 存在 尾 。 另 外 ,也 不 需要 一 个 初始 化 向 
认证 数据 (authentication data) 量 。AH 的 格式 如 图 3-8 所 示 。 


图 3-8 AH 的 格式 COD 下 一 个 头 : 占 8 位 ,与 ESP 头 中 对 应 字 

段 含义 相同 。 标 识 AH 后 下 一 个 有 效 负载 的 类 

型 。 在 传输 模式 下 . 它 是 处 于 保护 中 的 上 层 协议 的 值 (如 UDP 或 TCP 协议 的 值 ) ,在 隧道 模 
式 下 , 它 是 值 为 4, 表示 IPinIP(IPv4) 封 装 或 EPv6 封装 的 值 为 41。 

(2) 载荷 长 度 : 占 8 位 ,以 32 位 为 长 度 单位 指定 了 AH 的 长 度 ,其 值 是 AH 头 的 实际 

长 度 减 2。 这 是 因为 AH 是 一 个 IPv6 扩展 头 , 而 IPv6 扩展 头 长 度 的 计算 方法 是 实际 长 度 

减 1。 由 于 IPv6 是 以 64 位 为 长 度 单位 ,而 AH 是 以 32 位 为 长 度 单位 进行 计算 的 ,所 以 将 

减 1 变换 为 减 2 (1 个 64 位 长 度 单位 =2 个 32 位 长 度 单位 ) 。 如 果 采 用 标准 的 认证 算法 , 认 

证 数据 字段 长 度 为 96 位 ,加 上 3 个 32 位 固定 长 度 的 部 分 , 则 载荷 长 度 字 段 值 为 4(96/32 十 
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3 一 2 二 4) 。 如 果 使 用 * 空 ?认证 算法 ,将 不 会 出 现 认证 数据 字段 , 则 载荷 长 度 字段 值 为 1 。 

G) 保留 : 保留 16 位 给 将 来 使 用 ,其 值 必须 为 0。 该 字段 值 包含 在 认证 数据 计算 中 ,但 
被 接收 者 忽略 。 

(4) 安全 参数 索引 (SP1): 占 32 位 ,与 ESP 头 中 对 应 字段 含义 相同 。 

(5) 序列 号 ; 占 32 位 ,与 ESP 头 中 对 应 字段 含义 相同 。 

(6) 认证 数据 : 可 变 长 字段 , 它 是 认证 算法 对 AH 数据 报 进行 完整 性 计算 所 得 到 的 完 
整 性 检查 值 (ICV)。 该 字段 的 长 度 必 须 是 32 位 的 整数 倍 ,因此 可 能 会 包含 填充 项 。SA 使 
用 的 认证 算法 必须 指明 ICV 的 长 度 .比较 规则 以 及 认证 的 步骤 。 

2. AH 应 用 模式 

AH 可 采用 传输 模式 或 隧道 模式 对 IP 数据 报 进行 保护 。 在 传输 模式 方面 ,AH 头 插 在 
IP 头 和 上 层 协议 头 之 间 ,如 图 3-9 所 示 。 在 隧道 模式 ,整个 IP 数据 报 都 封装 在 一 个 AH k 
中 进行 保护 ,并 增加 一 个 新 的 IP 头 ,如 图 3-10 所 示 。 无 论 在 哪 种 模式 下 ,AH 都 要 对 外 部 
IP 头 的 固定 不 变 字段 进行 认证 。 


IP AH 头 TCP 头 数据 
验证 


图 3-9 AH 采用 的 传输 模式 


新 IP 头 AH 头 原始 IP 头 。 TCP 头 数据 
I. 验证 


图 3-10 AH 采用 隧道 模式 


与 ESP 同样 ,对 于 特定 的 IP E, RA M IPSec 系统 判定 了 有 与 之 相应 的 SA 后 , 才 调 用 
AH 处 理 过 程 对 IP 包 进行 AH 处 理 。 发 送 者 对 IP 包 计算 认证 数据 ICV ,并 将 结果 放 入 输 
出 包 的 认证 数据 字段 随 包 发 送 。 接 收 者 在 接收 包 之 前 ,将 对 认证 数据 的 正确 性 进行 验证 。 
正确 的 IP 包 才 被 接收 ,否则 将 其 丢弃 ,并 作为 审计 事件 记 入 日 志 。 在 处 理 过 程 中 要 考虑 包 
的 分 段 与 重组 的 问题 。 

3. IPSec 的 应 用 

IPSec 是 一 种 涉及 面 极 广 , 功 能 极 强 的 IP 安全 协议 , 它 实现 了 IP 包 级 安全 ,并 为 上 层 协 
议 提供 覆盖 式 的 安全 保护 ,这 都 使 它 具 有 广泛 的 应 用 领域 与 发 展 前 景 。IPSec 是 下 一 代 IP 
协议 一 一 IPv6 的 基本 组 成 部 分 ,是 IPv6 必须 支持 的 功能 ;IPSec 几乎 能 与 任何 类 型 的 IP 协 
议 设备 协同 工作 ,通过 其 与 远程 主机 、 防 火 墙 、 安 全 网 关 、 路 由 器 的 结合 ,可 以 构造 出 各 种 网 
络 安全 解决 方案 ;IPSec 能 与 其 他 协议 结合 提供 更 强 的 安全 性 ;IPSec 能 使 企业 把 他 们 的 
Extranet 扩展 到 贸易 伙伴 ,进行 安全 的 电子 商务 ,能 使 他 们 的 Intranet 连接 到 远程 场所 而 不 
用 担心 安全 协议 的 兼容 性 ;IPSec 能 使 企业 在 他 们 已 有 的 IP 网 络 上 建造 一 个 安全 的 基础 设 
施 。 目 前 IPSec 最 主要 的 应 用 是 构建 安全 虚拟 专用 网 (VPN)。VPN 实质 上 是 通过 保密 隧 
道 在 非 信 任 公共 网 络 上 产生 的 安全 私有 连接 。VPN 能 在 Internet 等 公共 网 络 上 安全 地 传 
递 信息 ,连接 远程 用 户 、 分 支部 门 和 商业 合作 伙伴 :把 他 们 组 成 一 个 扩展 的 自治 网 络 。VPN 
利用 公共 网 络 基础 设施 为 企业 各 部 门 提供 安全 的 网 络 互 联 服务 , 它 能 使 运行 在 VPN 上 的 
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商业 应 用 有 几乎 与 专用 网 络 相同 的 安全 性 、 可 靠 性 .可 扩充 性 、 服 务 质量 和 可 管理 性 。 
3.5.3 IPSec 安全 协议 ESP 


封装 安全 载荷 协议 ESP( 以 下 简称 ESP) 是 插入 在 IP 数据 报 内 的 一 个 协议 ,为 TP 数据 
报 提供 数据 机 密 性 ` 数 据 完整 性 、 抗 重播 以 及 数据 源 验 证 等 安全 服务 。ESP 可 以 应 用 于 传 
输 模 式 和 隧道 模式 两 种 不 同 模式 。ESP 可 以 单独 使 用 ,也 可 以 利用 隧道 模式 和 做 套 使 用 ,或 
者 和 AH 组 合 起 来 使 用 。 

ESP 使 用 一 个 加 密 器 提供 数据 机 密 性 ,使 用 一 个 验证 器 提供 数据 完整 性 认证 。 加 密 器 
和 验证 器 所 采用 的 专用 算法 是 由 ESP 安全 联盟 的 相应 组 件 决定 的 。 因 此 ,ESP 是 一 种 通用 
的 .易于 扩展 的 安全 机 制 , 它 将 基本 的 ESP 功能 定义 和 实际 提供 安全 服务 的 专用 密码 算法 
分 离开 ,有 利于 密码 算法 的 更 换 和 更 新 。 

ESP 的 抗 重播 服务 是 可 选 的 。 通 常 ,发 送 端 在 受 ESP 保护 的 数据 报 中 插入 一 个 唯一 
的 、. 单 向 递增 的 序列 号 ,接收 端 通过 检验 数据 报 的 序列 号 来 验证 数据 报 的 唯一 性 ,防止 数据 
报 的 重播 ,但 并 不 要 求 接收 端 必须 实现 对 数据 报 序列 号 的 检查 。 因 此 , 抗 重播 服务 可 由 接收 

1. ESP 头 格式 

在 IPv4 中 ,ESP 头 紧 跟 在 IP 头 后 ,这 个 IP 头 的 协议 字段 是 50, 以 表明 IP 头 之 后 是 一 
个 ESP 头 。 但 在 IPv6 中 ,ESP 头 的 放置 与 扩展 头 是 否 存在 有 关 。ESP 头 肯定 插 在 扩展 头 
之 后 。 如 果 扩 展 头 存在 , 它 的 下 一 个 头 字段 就 会 立即 出 现在 设 为 50 的 ESP 头 之 前 。 如 果 
扩展 头 不 存在 ,IPv6 中 的 下 一 个 头 字 段 就 会 被 设 成 50。 在 RFC2406 中 的 ESP 头 的 格式 如 
图 3-11 所 示 。 


安全 索引 参数 (SPD 
序列 号 (Sequence Number) 
初始 化 向 量 (IV) 
载荷 数据 (Payload Data) 
填充 项 (Padding) 填充 项 长 度 下 一 个 头 
认证 数据 (Authentication Data) 


图 3-11 ESP 头 的 格式 


CD 安全 参数 索引 (SPI) : 作为 一 个 IPSec 头 ,ESP 头 中 会 包含 一 个 SPI 字段 , 它 包 括 目 
的 地 址 和 ESP, 用 于 标识 这 个 数据 所 属 的 安全 联盟 。SPI 本 身 是 个 32 位 的 任意 数 , 一 般 在 
IKE 交换 过 程 中 由 目标 主机 选 定 。SPI 经 过 验证 却 未 被 加 密 ,因为 SPI 是 一 种 状态 标识 ,由 
它 来 指定 所 采用 的 加 密 算法 及 密 钥 以 及 对 数据 报 进行 解密 。 

(2) 序列 号 (SN) : 是 一 个 增 量 的 计数 值 ,使 用 序列 号 ,ESP 具有 抵抗 重 放 攻 击 的 能 力 。 
序列 号 是 唯一 的 . 单 向 递增 的 、 由 发 送 端 插 在 ESP 头 的 一 个 号 码 。 建 立 SA 时 ,发 送 端 和 接 
收 端的 计数 器 必须 初始 化 为 0( 发 送 端 通过 特定 SA 发 送 的 第 一 个 数据 包 的 序列 号 为 1) 。 
序列 号 是 经 过 验证 的 ,但 没有 加 密 ,因为 接收 端 是 根据 序列 号 来 判断 一 个 数据 包 是 否 重复 ， 
如 果 先 要 解密 序列 号 ,然后 再 做 出 是 否 要 丢弃 该 数据 包 的 决定 ,就 会 造成 处 理 资源 的 浪费 。 

(3) 有 效 载 荷 数 据 : ESP 保护 的 实际 数据 包含 在 有 效 载荷 数据 中 ,其 长 度 由 数据 长 度 
来 决定 ,因此 是 可 变 长 的 数据 。 数 据 类 型 由 下 一 个 头 字 段 来 表示 ,车 定义 了 加 密 算 法 , 则 需 
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要 加 密 且 在 保护 数据 字段 中 包含 一 个 加 密 算 法 可 能 需要 用 到 的 初始 化 向 量 (IV) 。 

(4) 填充 项 : 根据 加 密 算法 的 需要 填 满 一 定 的 边界 ,从 而 保证 边界 的 明确 。 有 些 加 密 
算法 模式 要 求 密码 的 输入 是 其 块 大 小 的 一 倍 , 填 充 项 可 用 来 完成 此 任务 。 填 充 项 的 内 容 与 
提供 机 密 性 的 加 密 算 法 有 关 ,如果 算 法 在 填充 项 中 定义 了 一 个 特定 值 , 则 只 能 采用 这 个 值 ; 
如 果 算 法 没有 指定 需要 填充 项 的 值 ,ESP 将 指定 填充 项 的 第 一 个 字 节 的 值 是 1, 后面 的 所 有 
字 节 值 都 单 向 递增 。 

(5) 填充 项 长 度 : 指出 添加 多 少 填充 项 字段 的 长 度 。 填 充 项 字段 长 度 是 硬性 规定 的 ， 
因此 ,即使 没有 填充 项 ,填充 项 字段 长 度 仍 会 将 它 表 示 出 来 。 

(6) 下 一 个 头 : 指出 了 载荷 数据 段 的 类 型 ,包含 在 载荷 数据 字段 内 。 在 隧道 模式 下 使 
用 ESP, 此 值 为 4, 表示 IP-in-IP。 如 果 在 传输 模式 下 使 用 ESP, 这 个 值 表 示 的 就 是 它 背 后 的 
上 一 级 协议 的 类 型 。 

(7) 认证 数据 : ESP 数据 的 完整 性 校 验 值 CICV) ,通常 是 一 个 经 过 密 钥 处 理 的 散 列 画 
数 。 这 一 字段 的 长 度 由 SA 使 用 的 身份 验证 算法 决定 。 

2. ESP 模式 

和 AH 的 情况 一 样 ,ESP 在 数据 包 中 位 置 取决 于 ESP 的 操作 模式 。ESP 共有 2 种 操作 
模式 : 传输 模式 和 隧道 模式 。 

1) ESP 传输 模式 

在 传输 模式 下 ,ESP 插 在 IP 头 和 所 有 选项 之 后 、 传 输 层 协议 之 前 ,或 者 在 已 经 应 用 的 任 
意 IPSec 协议 之 前 。 所 以 ,在 IPv4 传输 模式 下 ,ESP 插 在 变 长 选项 字段 之 后 ,图 3-12 给 出 
T ESP 在 传输 模式 中 相对 于 其 他 头 部 的 位 置 。 在 这 个 图 中 ,ESP 的 头 部 域 由 SPI 和 序列 号 
字段 组 成 。 图 中 表明 了 数据 报 所 受 的 加 密 和 认证 的 部 分 。 如 果 需 要 保密 服务 ,SPI 和 序列 
号 字段 不 被 加 密 ,这 是 由 于 接收 节点 需要 这 些 域 来 标志 用 来 处 理 数 据 报 的 SA。 另外 ,如 果 
启动 了 抗 重 放 服 务 ,还 需要 用 它们 来 检测 重 放 数 据 包 。 类 似 地 ,如 果 有 认证 数据 域 , 那 它 不 
被 加 密 ,如 果 某 个 SA 需要 ESP 认证 服务 ,目的 主机 在 处 理 这 个 数据 报 之 前 首先 用 这 个 域 
来 认证 数据 报 的 完整 性 。 

应 用 ESP 前 的 IPv4 头 
原 IP 头 可 选 域 传输 协议 头 (TCP、UDP) | 传输 协议 数据 


应 用 ESP 后 的 IPv4 头 
原 IP 头 可 选 域 | ESP 头 | 传输 协议 关 | 传输 协议 数据 | ESP 尾 部 “| ESP 的 ICV 


h 加 密 部 分 1 


|a 认证 部 分 


图 3-12 传输 模式 下 ESP 的 位 置 (IPv4) 


对 于 IPv6 数据 报 ,ESP 插 在 逐 跳 . 路 由 和 分 段 扩展 头 之 后 ;目的 选项 扩展 头 可 以 放 在 
ESP 头 的 前 边 或 后 边 。 如 果 目 的 选项 头 由 IPv6 目的 地 址 域 的 第 1 个 目的 主机 以 及 由 路 由 
头 列 出 的 后 续 目 的 主机 处 理 , 那 目的 选项 头 将 放 在 ESP 之 前 。 如 果 它 仅 被 目的 节点 处 理 ， 
则 可 以 放 在 ESP 之 后 。 图 3-13 显示 了 在 传输 模式 下 ESP 相对 于 其 他 IPv6 扩展 头 的 位 置 。 

关于 ESP 认证 服务 要 强调 一 点 的 是 ,与 AH 不 同 ,ESP 不 对 整个 IP 数据 报 进行 认证 。 
使 用 私有 TP 地 址 或 位 于 安全 网 关 之 后 的 主机 间 通 信 可 通过 ESP 认证 服务 保护 ,IP 头 中 的 
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应 用 ESP 前 的 IPv6 头 


原 IP 头 扩展 头 (如 果 存 在 ) | 传输 协议 头 (TCP、UDP) | 传输 协议 数据 


L 
逐 跳 、 路 由 、 分 段 、 5 TE - : 
原 IP 头 目的 扩展 类 ESP 头 | 传输 协议 头 | 传输 协议 数据 | ESP 尾 部 | ”ESP 的 ICV 


加 密 部 分 
认证 部 分 


一 | 


图 3-13 ”传输 模式 下 ESP 的 位 置 (IPv6) 


源 和 目的 以 及 其 他 域 未 认证 。 于 是 ,NAT 和 安全 网 关 可 以 改变 数据 报 相应 的 IP. 头 的 域 。 
如 果 修 改 之 后 的 头 部 校 验 和 计算 正确 ,并 且 ESP 头 部 未 被 修改 ,目的 节点 将 成 功 认证 数据 
报 。 然 而 ,ESP 提供 的 这 种 灵活 性 导致 了 它 的 弱点 。 除 了 ESP 头 部 外 ,在 从 源 到 目的 地 的 
传输 过 程 中 IP 头 的 任何 域 都 可 以 被 修改 ,如 果 修 改 的 头 部 校 验 和 计算 正确 ,目的 主机 将 无 
法 检测 到 发 生 过 的 修改 。 这 样 ,ESP 传输 模式 认证 服务 所 提供 的 安全 性 就 不 如 AH 传输 模 
式 。 所 以 , 当 需 要 更 高 安全 级 并 且 通 信 双 方 使 用 公开 IP 地 址 时 ,应 采用 AH 认证 服务 和 
ESP 认证 服务 相 结合 的 方法 。 

2) ESP 隧道 模式 

在 隧道 模式 下 ,ESP 头 插 在 原始 IP 头 之 前 ,并 且 将 生成 一 个 新 的 IP 头 插 在 ESP 头 之 
前 ,图 3-14 说 明了 在 IPv4 下 的 情况 。 对 IPv6 数据 报 而 言 , 除 了 新 的 IP 头 , 原 始 IPv6 数据 
报 中 的 扩展 头 也 插 在 ESP 头 之 前 。 图 3-15 说 明了 在 IPv6 下 的 情况 。 

应 用 ESP 前 的 IPv4 头 


原 IP 头 可 选 域 传输 协议 头 (TCP、UDP) 传输 协议 数据 


应 用 ESP 后 的 IPv4 头 


新 IP 头 可 | ESPA | 原 IP 头 可 选 域 | 传输 协议 头 | 传输 协议 数据 | ESP 尾 部 | ”ESP 的 ICV 
选 域 


加 密 部 分 


一 - 


E 认证 部 分 


- 


图 3-14 隧道 模式 下 ESP 的 位 置 (IPv4) 


应 用 ESP 前 的 IPv6 头 


原 IP 头 | 扩展 头 (如 果 存 在 ) | ”传输 协议 头 (TCP、UDP) 传输 协议 数据 


新 IP 头 | 扩展 头 (如 | Espy | 原 IP 头 


qua 扩展 头 (如 ENS 传输 协 | ESP | ESP 的 ICV 


果 存 在 ) 议 数据 | 尾部 


加 密 部 分 


一 - 


认证 部 分 


图 3-15 ”隧道 模式 下 ESP 的 位 置 (IPv6) 
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内 部 IP 头 中 包括 真正 的 源 地 址 和 最 终 目的 地 址 。 外 部 的 源 及 目的 IP 头 域 分 别 包 含 源 
及 目的 节点 的 安全 网 关 。 所 以 ,内 、 外 部 IP 头 的 源 地 址 可 能 不 同 , 目 的 地 址 可 能 也 不 同 。 

和 传输 模式 情况 一 样 ,ESP 头 部 域 由 SPI 和 序列 号 字段 组 成 ,而 ESP 尾部 域 由 填充 字 
段 、 填 充 长 度 字 段 和 下 一 个 头 字 段 组 成 。 从 图 3-14 和 图 3-15 中 可 见 ,ESP 头 部 和 尾部 域 未 
加 密 , 这 是 由 于 这 些 域 中 包含 一 些 信 息 , 目 的 节点 需要 利用 这 些 信息 查找 用 于 处 理 数据 报 所 
属 的 数据 流 的 SA ,或 者 在 加 密 之 前 处 理 数 据 报时 需要 这 些 信息 。 

有 一 点 非常 重要 ,ESP 隧道 模式 认证 和 加 密 服务 所 提供 的 安全 性 要 强 于 ESP 传送 模 
式 , 因 为 前 者 认证 和 加 密 原 始 的 IP 头 。 但 是 ,隧道 模式 服务 比 传输 模式 服务 占用 更 多 的 带 
宽 , 因 为 隧道 模式 在 保护 的 数据 报 中 插入 了 一 个 额外 的 IP 头 。 所 以 如 果 带 宽 受 限 ,那么 传 
输 模式 应 该 是 更 合适 的 选择 。 

尽管 理论 上 ESP 隧道 模式 认证 提供 的 安全 性 不 如 AH 传输 模式 或 隧道 模式 的 安全 性 
高 ,但 是 由 于 用 来 处 理 数据 包 的 信息 在 内 部 的 IP 头 中 ,所 以 它 提 供 的 安全 性 已 经 足够 了 。 

同样 值得 注意 的 一 点 是 ,ESP 隧道 模式 的 保密 服务 ,特别 是 在 安全 网 关上 实现 时 , 它 可 
以 提供 数据 流 保密 服务 ,因为 包含 IP 数据 包 源 地 址 的 内 部 IP 头 被 加 密 了 。 


3.5.4 Internet 安全 关联 密 钥 管理 协议 


Internet 安全 关联 密 钥 管理 协议 (ISAKMP) 提 供 了 Internet 密 钥 管 理 的 一 个 框架 ,并 
提供 了 支持 协商 和 安全 关联 管理 的 协议 ,安全 关联 协议 含有 执行 各 种 网 络 安全 服务 所 需要 
的 所 有 信息 。ISAKMP 中 也 有 定义 交换 密 钥 产 生 方 法 和 认证 数据 的 部 分 , 它 能 提供 对 窃听 
的 保护 。 

下 面 给 出 ISAKMP 的 描述 是 基于 ISAKMP 草案 文本 的 。 

ISAKMP 试图 在 网 络 栈 的 各 个 层面 ,支持 对 安全 协议 中 的 安全 关联 进行 协商 。 
ISAKMP 自身 .并 不 建立 会 话 密 钥 ,不 过 . 它 能 利用 各 种 会 话 密 钥 建立 协议 ,比如 Oakley, X 
提供 因特网 密 钥 管理 的 一 套 完 整 解决 方案 。 

ISAKMP 使 得 安全 关联 的 管理 集中 化 了 ,这 样 可 以 减少 各 个 安全 协议 中 功能 的 重复 。 
它 还 能 在 同一 时 间 , 和 若干 业务 进行 协商 ,从 而 可 以 降低 连接 建立 的 时 间 。 

ISAKMP 的 主要 部 分 是 安全 关联 和 管理 .认证 .公共 密 钥 密码 和 (安全 ) 保 护 机 制 。 
ISAKMP 对 其 中 的 认证 和 密 钥 交换 部 分 有 一 些 基 本 要 求 ,它们 的 作用 是 减轻 威胁 、 防 止 对 
业务 拒绝 服务 、 重 传 通 信 中 第 三 者 的 存在 、 黑 客 对 连接 进行 攻击 等 一 些 情况 的 出 现 。 

1. ISAKMP 认证 、 密 钥 交 换 和 保护 

ISAKMP 需要 利用 数字 签名 算法 ,比如 数字 签名 标准 DSS 和 RSA 签名 算法 ,与 来 自 于 
可 靠 第 三 方 的 认证 相 结合 ,完成 认证 工作 。 该 协议 不 需要 或 者 说 没有 规定 一 种 特定 的 签名 
算法 或 认证 中 心 。 

CA 定义 了 ISAKMP 协议 发 布 的 认证 法 中 所 命名 的 含义 ,该 协议 提供 了 支持 实际 的 认 
证 过 程 所 需要 的 消息 。 基 于 用 户 的 需求 .ISAKMP 也 允许 实体 间 的 初始 通信 时 ,指明 它 使 
用 哪 一 种 密 钥 交换 机 制 , 在 选 好 密 钥 交换 方法 后 .该 协议 提供 了 支持 实际 的 密 钥 建立 所 需要 
的 消息 ,采用 该 协议 的 用 户 可 以 根据 其 需求 ,选择 密 钥 建立 算法 。 

在 ISAKMP 协议 中 ,采用 一 种 方法 ( 防 阻塞 令 牌 ) 来 帮助 计算 机 的 资源 免 受 攻击 。 完 全 
防止 拒绝 服务 情况 的 出 现 是 不 可 能 的 ,不 过 该 方法 提供 了 一 种 技术 以 便 更 容易 地 处 理 拒绝 
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服务 状态 。ISAKMP 可 以 指出 哪儿 已 出 现 不 正常 的 操作 ,并 且 与 ISAKMP 相关 联 的 机 制 ， 
防止 了 在 协议 信息 交换 的 过 程 中 (外 部 ) 消 息 的 插入 ,从 而 帮助 防止 第 三 者 (对 通信 ) 的 攻击 。 
ISAKMP 还 通过 认证 、 密 钥 交 换 和 安全 关联 交换 ,帮助 防止 黑客 人 侵 。 

2. 概念 

图 3-15 是 ISAKMP 与 网 络 体系 结构 关系 的 高 层 解释 。 它 全 服务 协商 的 一 个 重要 部 分 
是 将 所 有 的 安全 关联 , 当 作 一 个 保护 协议 族 。 一 个 保护 协议 族 是 每 一 个 安全 协议 需要 应 用 
的 安全 服务 名 单 ,例如 ,一 个 保护 协议 族 可 以 由 MD5 认证 算法 和 DES 算法 组 成 。 

DOI( 解 释 域 文本 ) 定 义 如 图 3-16 所 示 , 它 表示 的 是 负载 格式 、 交 换 类 型 .相关 的 安全 信 
息 命名 法 协定 。 相 关 安 全 信息 可 以 包括 安全 策略 和 正在 使 用 的 加 密 算法 等 。ISAKMP B) 
议 利 用 一 个 DOI 标识 符 来 解释 ISAKMP 的 负载 部 分 ,ISAKMP 的 负载 提供 了 构造 
ISAKMP 消息 的 构造 模块 。 


应 用 处 理 
DO 定义“ 上 一 一 ISAKMP 应 用 协议 


f 


一 一 | 


网 络 应 用 程序 接口 
付 输 协议 (TCP/UDP) 
安全 协议 “上 一 | IP 
链 路 层 协议 


图 3-16 ISAKMP 关系 


一 个 DOI 定义 了 : 

。 协议 用 来 确定 安全 服务 的 信息 。 

。 通信 的 双方 必须 支持 的 安全 策略 。 

。 规定 所 提议 的 安全 服务 时 采用 的 句法 。 

。 命名 相关 安全 服务 信息 时 的 方案 ,包括 加 密 算法 、 密 钥 交 换算 法 、 安 全 策略 特性 和 认 

证 中 心 。 

一 次 ISAKMP 协商 会 话 有 两 个 阶段 。 在 第 一 个 阶段 中 ,协商 的 双方 就 如 何 保护 进一步 
的 协商 达成 一 致意 见 ,并 建立 一 个 ISAKMP 安全 关联 。ISAKMP 协议 将 利用 其 分 组 头 部 
中 的 两 个 指示 域 来 标明 安全 关联 参数 。 在 通信 的 第 一 个 阶段 双方 协商 好 的 安全 服务 提供 了 
第 二 个 阶段 的 安全 特性 。 

第 二 阶段 将 为 使 用 中 的 其 他 安全 协议 确定 安全 关联 参数 。ISAKMP 协议 利用 分 组 头 
部 中 的 消息 ID 和 SPI 域 , 在 安全 关联 建立 过 程 中 ,为 其 他 的 安全 协议 确定 安全 关联 。 
ISAKMP 协议 允许 通信 的 发 起 者 和 响应 者 ,在 会 话 协商 过 程 中 有 同样 的 控制 权 。 

一 个 安全 协议 能 够 利用 上 述 第 二 个 阶段 确定 的 安全 关联 参数 ,来 保护 各 种 各 样 的 消息 
和 数据 的 交换 。ISAKMP 协议 利用 ISAKMP 定义 的 (安全 信息 ) 交 换 方 法 ,或 者 在 DOI 中 
定义 的 密 钥 交换 方法 ,完成 协商 的 各 个 阶段 。 

3. ISAKMP 端口 分 配 

密 钥 管理 方法 在 传输 层 协议 之 上 或 IP 层 之 上 ,可 以 代替 ISAKMP, IANA 分 配给 
ISAKMP 的 用 户 数据 报 协议 端口 号 是 500。 所 有 ISAKMP 协议 的 执行 ,必须 包括 在 这 个 端 
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口上 发 送 和 接收 信息 的 能 力 。 

4. ISAKMP 的 报头 格式 

ISAKMP 消息 由 报头 和 一 个 或 多 个 负载 以 传输 模式 构成 ,其 报头 格式 包含 以 下 字段 ， 

(D REJ Cookie: 字段 长 64 比特 ,用 于 表示 开始 SA 的 建立 .SA 的 发 布 或 删除 。 

© MAJ Cookie: 字段 长 64 比特 ,为 对 发 起 方 作出 应 答 的 一 方 的 Cookie。 在 发 起 方 
首次 发 来 的 消息 中 该 字段 为 空 。 

© 下 一 负载 : 字段 长 8 比特 ,表示 消息 中 第 一 个 负载 的 类 型 。 

@ 主 版 本 号 : 字段 长 4 比特 ,表示 正在 使 用 的 ISAKMP 的 主 版 本 。 

C) 次 版 本 号 : 字段 长 4 比特 ,表示 正在 使 用 的 ISAKMP 的 次 版 本 。 

© 交换 类 型 : 字段 长 8 比特 ,其 含义 下 面 介绍 。 

CD 标志 : 字段 长 8 比特 ,表示 对 这 个 ISAKMP 交换 所 做 的 特定 选择 设置 ,其 中 两 个 特 
定 比特 位 为 : 加 密 比 特 位 ,该 比特 位 的 设置 表示 报头 之 后 的 所 有 负载 都 被 这 一 SA 使 用 的 
加 密 算 法 加 密 ; 承 诺 比特 位 ,用 于 保证 已 加 密 部 分 不 会 在 SA 的 建立 完成 以 前 收 到 。 

© 消息 的 ID: 字段 长 32 比特 ,对 该 消息 是 唯一 的 。 

© KE: 字段 长 32 比特 ,表示 以 8 位 位 组 为 单位 的 消息 (包括 报头 和 所 有 负载 ) 总 长 。 

5. ISAKMP 负载 类 型 

ISAKMP 的 所 有 负载 都 是 以 图 3-17(b) 所 示 的 类 负载 报头 开始 的 ,其 中 “下 一 负载 " 字 
段 表示 该 负载 后 一 负载 的 类 型 ,如 果 该 负载 是 消息 中 最 后 一 个 负载 , 则 该 字段 取 值 为 0。 
“保留 "字段 留待 以 后 使 用 必 负 载 长 度 " 字 段 表示 这 一 负载 (包括 类 负载 报头 ) 以 8 位 位 组 为 
单位 的 长 度 。ISAKAP 的 负载 类 型 有 : 


发 起 方 Cookie 
应 答 方 Cookie 
下 一 负载 次 版 本 号 ERRI ”交换 类 型 ”标志 下 一 负载 保留 负载 长 度 
消息 的 ID 
长 度 
(a) ISAKMP 报 头 (b) 类 负载 报头 
图 3-17 ISAKMP 的 消息 格式 


(D SA 负载 (SA): 用 于 开始 SA 的 建立 。 

@ 提议 负载 (P): 包含 SA 的 协商 所 需 使 用 的 信息 。 

O 变换 负载 (T): 用 于 定义 所 指定 协议 的 安全 变换 。 

CD 密 钥 交 换 负 载 (KE): 可 用 于 不 同 的 密 钥 交换 技术 ,包括 Oakley、Diffie-Hellman 以 
及 PGP 使 用 的 基于 RSA 的 密 钥 交换 技术 。 

C) 识别 负载 (ID): 用 于 决定 通信 对 方 的 身份 ,也 可 能 用 于 对 被 交换 信息 的 认证 。 

( 证 书 负 载 (CERT): 用 于 传输 公 钥 证 书 。 

CD 证 书 请 求 负载 (CR) : 用 于 请 求 通信 另 一 方 的 公 钥 证 书 。 

@ 散 列 函数 负载 (HASH) : 包含 散 列 函数 作用 于 消息 的 某 些 部 分 后 产生 的 散 列 值 ,用 
于 验证 消息 中 数据 的 完整 性 或 用 于 对 通信 对 方 的 认证 。 

@ 签字 负载 (SIG) : 包含 签字 函数 作用 于 消息 的 某 些 部 分 后 产生 的 数据 ,用 于 验证 消 
息 中 数据 的 完整 性 或 用 于 不 可 否认 业务 。 
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d) 一 次 性 随机 数 负载 (NOUNCE): 用 于 保证 交换 过 程 的 实时 性 和 防止 重 放 攻 击 。 
D 通告 负载 (N): 包含 与 此 SA 相关 的 或 与 此 SA 的 协商 相关 的 错误 信息 或 状态 信息 。 
O 删除 负载 (D) : 表示 发 送 者 已 从 自己 的 数据 库 删除 的 一 个 或 多 个 SA。 


3.6 QoS 协议 


QoS 是 指 一 个 网 络 能 够 利用 各 种 各 样 的 基础 技术 向 选 定 的 网 络 通信 提供 更 好 的 服务 
的 能 力 。 这 些 基 础 技术 包括 : 帧 中 继 (frame relay)、 异 步 传输 模式 (Asynchronous Transfer 
Mode. ATM) .以 太 网 和 802. 1 网 络 .SONET 以 及 IP- 路 由 网 络 。 特 别 值得 注意 的 是 ,通过 
采用 下 列 技术 ,QoS 功能 可 提供 更 好 的 和 更 可 预测 的 网 络 服务 + 

。 支持 专用 带宽 ; 

。 改善 损失 特性 ; 

。 避免 并 且 管 理 网 络 拥塞 情 况 ; 

。 规定 网 络 通信 流量 

。 设置 网 络 上 的 通信 的 优先 权 。 


3.6.1 QoS 的 体系 结构 


所 谓 QoS 就 是 使 网 络 及 其 设备 ( 即 应 用 ,主机 或 路 由 器 ) 为 网 络 数据 传输 和 服务 提供 某 
种 程度 保证 的 能 力 。 为 了 实现 QoS 要 求 , 需 要 各 级 网 络 的 各 个 层 以 及 两 端 之 间 网 络 上 各 个 
设备 协同 工作 。QoS 并 不 能 产生 带宽 , 它 仅 仅 是 按照 应 用 需求 和 网 络 管理 的 设置 来 管理 带 
宽 。 实 现 QoS 的 一 种 方法 是 按照 服务 水 平 的 要 求 分 配 资源 给 每 一 个 数据 流 。 这 种 采用 “ 资 
源 预约 ”进行 带宽 分 配 的 方法 并 不 适合 用 于 "尽力 而 为 应用。 由 于 带宽 资源 是 有 限 的 ,QoS 
的 设计 者 引入 优先 级 的 概念 ,使 得 在 资源 预约 后 “尽力 而 为 "数据 流 的 传输 也 能 得 到 保障 。 
据 此 QoS 可 以 分 为 两 种 基本 类 型 。 

D 资源 预约 (综合 服务 ) 网 络 资源 按照 一 种 应 用 的 QoS 要 求 进行 分 配 ,制定 带宽 管理 
策略 。 

@ 优先 级 划分 (区 分 服务 ) 对 网 络 上 的 数据 流 进行 分 类 ,按照 带宽 管理 策略 准则 分 配 网 
络 资源 ,保证 QoS 网 络 部 件 对 分 类 识别 有 更 高 要 求 的 数据 流 给 以 优先 处 理 。 

以 上 两 种 类 型 的 都 基于 普通 的 流量 管理 策略 (分 别 对 于 两 种 体系 结构 ), 且 可 以 综合 应 
用 ,使 得 QoS 在 本 地 和 广域网 环境 中 优化 。 

1. 流量 管制 

流量 管制 的 一 般 概念 指 只 有 当 满 足 特定 条 件 ( 比 如 有 足够 资源 来 处 理 QoS 需求 ) 时 , 才 
允许 流量 进入 网 络 ,同时 还 要 监督 流量 行为 。 这 样 就 可 以 根据 流量 要 求 调整 网 络 ,或 者 施加 
限制 措施 以 防 资源 的 不 当 使 用 。 

流量 管制 的 方法 有 多 种 ,如 基于 路 由 器 中 QoS 需求 的 公平 队列 算法 、 网 络 范围 内 优先 
级 别 的 使 用 (判断 在 路 由 /转发 系统 中 对 QoS 敏感 的 传输 的 控制 ) ,以 及 适应 机 制 ,如 通过 路 
由 器 随机 早期 侦 测 ,以 探测 流量 行为 及 其 对 人 为 或 随机 数据 包 丢 失 或 延 时 的 敏感 性 。 

使 用 流量 管制 (以 及 相应 的 管理 和 技术 开销 ) 的 原因 并 不 仅仅 由 于 实时 多 媒体 传输 所 强 
加 的 QoS ZER ,还 包括 经 济 方面 的 原因 ,例如 在 不 同 工 作 日 或 者 在 一 天 中 不 同时 段 , 网 络 费 
用 不 同时 测试 花费 控制 。 
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2. 综合 服务 体系 结构 

综合 服务 体系 结构 (Integrated Services Architecture. IntServ) 基 于 这 样 的 一 般 范 例 : 
以 端 到 端的 方式 为 每 个 传输 流 预 留 带 宽 和 所 有 相应 资源 ,这 类 似 原 始 电话 服务 ,在 通信 时 ， 
线路 被 通信 双方 独 享 ,任何 其 他 方 都 不 能 使 用 该 线路 。 

尽管 该 模型 在 默认 情况 下 使 用 传统 的 IP 数据 包 转 发 ,但 它 允 许 发 送 者 和 接受 者 交换 预 
留 资源 ,建立 网 络 路 径 和 在 路 径 上 每 个 路 由 器 上 管理 数据 包 分 类 和 转发 状态 信息 的 显示 触 
发 消息 。RSVP 触发 协议 还 需要 应 用 程序 的 支持 ,因为 应 用 程序 要 能 向 基本 的 网 络 环境 注 
MH QoS 需求 。 

资源 预 留 协 议 支持 IntServ, 有 一 个 对 应 的 标准 定义 了 在 此 体系 结构 中 RSVP( 资 源 预 
约 协议 ) 的 使 用 (参见 RFC2210)。RSVP 是 一 个 综合 协议 ,提供 预约 设置 和 控制 以 实现 综 
合 服务 (IntServ) 。 它 最 接近 在 TP 网 上 实现 电路 仿真 。 对 于 应 用 (主机 ) 和 网 络 设备 (路 由 
器 和 交换 机 ) ,在 所 有 QoS 协议 中 ,RSVP 是 最 复杂 的 。 因 此 在 服务 保证 ,资源 分 配 的 粒度 
和 对 保证 QoS 应 用 及 用 户 反馈 的 细节 方面 ， —m QoS, 

尽管 在 早期 的 QoS 争论 中 ,IntServ 是 主要 的 想法 ,但 与 分 级 服务 体系 结构 相 比 ,其 一 
般 适用 性 得 到 质疑 。 此 外 ,RSVP 的 复杂 性 也 进一步 地 妨碍 了 IntServ 成 为 一 般 的 QoS 
模型 。 

3. 分 级 服务 体系 结构 

分 级 服务 体系 结构 (Differentiated Services Architecture. DiffServ, £L RFC2457) 基 于 
这 样 的 一 般 范例 : 在 对 QoS 敏感 的 IP 数据 包 中 的 DS 字 节 的 编码 点 中 ,相关 的 优先 级 和 服 
务 类 型 标记 足够 在 每 个 路 由 器 中 派生 QoS 相关 的 处 理 , 而 不 需要 显 式 地 设置 路 径 并 触发 预 
留 消息 。DiffServ 并 不 被 认为 是 端 到 端的 服务 ,而 是 基于 每 个 路 由 器 中 PHB 的 判定 。 在 网 
络 中 ,DiffServ 的 范围 可 能 被 限制 在 DiffServ 域 中 ,可 以 通过 对 QoS 不 敏感 的 路 由 网 络 依 

IP 数据 包 的 DS 字段 用 于 表示 数据 包 的 QoS 需求 ,然后 每 个 DiffServ 路 由 器 来 决定 数 
据 包 的 转发 处 理 , 因 此 分 类 器 和 流量 调节 器 等 动态 因素 被 用 来 选择 向 QoS 类 别 (或 聚 类 体 ) 
中 添加 哪些 数据 包 。 这 些 聚 类 体 在 DS 域 中 得 到 不 同 的 处 理 , 然 后 流量 调节 器 更 改 聚 类 体 
的 时 间 特 性 ,以 符合 流量 管制 要 求 。 

DiffServ 机 制 除了 作为 IntServ 范例 的 竞争 对 手 之 外 ,还 可 以 和 IntServ 协同 工作 ,特别 
是 整合 IntServ/RSVP QoS 状态 。 这 用 于 具有 综合 管理 和 服务 质量 的 局 域 网 ,在 广域网 的 
核心 部 分 以 及 包含 一 系列 没有 特别 管理 从 而 不 能 提供 端 到 端 QoS 的 子 网 。 在 这 种 情形 下 ， 
RSVP 只 能 在 局 域 网 以 及 各 提供 商 之 间 的 路 由 器 间 使 用 。 


3.6.2 QoS 的 实现 机 制 


数据 传输 QoS 不 仅 取决 于 网 络 上 的 路 由 器 ,而 且 取 决 于 网 络 的 传输 链 路 。 路 由 器 之 间 
的 分 组 传送 QoS 是 建立 在 每 条 链 路 的 QoS 能 力 基础 上 ,如 果 链 路 不 支持 可 控制 的 QoS. JI 
么 路 由 器 也 无 法 实现 QoS。 如 果 采 用 了 具有 QoS 能 力 的 链 路 技术 ,那么 路 由 器 的 实现 技术 
对 于 QoS 的 实现 就 十 分 的 重要 。 

传统 的 IP 网 络 中 存在 QoS 问题 的 关键 是 缺乏 对 网 络 资源 的 分 配 机 制 。 在 IP 网 络 中 
“尽力 而 为 ”的 路 由 器 在 处 理 内 部 瞬间 拥塞 时 ,采用 的 处 理 方式 是 将 大 量 的 分 组 丢弃 。 如 果 
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某 个 特定 的 输出 端口 成 为 两 个 以 上 的 输入 端口 业务 流 汇聚 的 焦点 ,“ 尽 力 而 为 ”的 路 由 器 将 
使 用 先进 先 出 的 排队 方式 ,使 分 组 缓存 在 相应 输出 链 路 的 队列 中 等 待 传输 。 排 队 会 引起 延 
迟 时 间 的 增加 和 数据 的 丢失 ,特别 是 在 队列 溢出 时 。 如 果 业 务 流 具 有 突 发 性 ,那么 对 每 一 个 
分 组 来 说 ,由 于 排队 引起 的 延迟 时 间 不 断 变化 ,将 使 得 业务 流产 生 延 迟 时 间 拌 动 。 

传统 路 由 器 的 主要 功能 集中 在 确定 分 组 发 送 的 目标 ,在 支持 QoS 的 IP 网 络 中 ,路 由 器 
必须 能 够 控制 何 时 进行 分 组 的 发 送 。 每 个 路 由 器 都 是 最 小 可 控制 的 流量 汇聚 点 和 分 叉 点 。 
传统 IP 网 络 中 的 流量 具有 波动 性 和 突 发 性 ,因此 ,路 由 器 中 设计 了 缓存 ,存放 暂时 过 量 的 分 
组 ,但 是 这 样 处 理 增 加 了 分 组 的 延迟 时 间 , 这 种 延迟 时 间 不 容易 预测 , 当 缓 存 溢出 的 时 候 还 
会 导致 分 组 的 丢弃 。 传 统 路 由 器 在 每 一 个 出 口 处 只 设计 一 个 队列 ,没有 提供 一 种 机 制 来 隔 
离 不 同 级 别 不 同 种 类 的 业务 流 。 

改进 IP 网 络 的 QoS 可 以 从 改变 网 络 的 延迟 .抖动 和 分 组 丢失 特性 开始 ,进而 改变 各 路 
由 器 的 排队 策略 和 队列 管理 的 动态 特性 。 实 现 QoS 对 于 IP 网 络 提出 3 个 方面 的 技术 
要 求 。 

(1) 每 一 跳 QoS。 网 络 中 最 小 的 可 控制 元 素 是 连接 各 条 链 路 的 节点 ,这 些 节 点 必须 基 
于 一 种 特定 的 体系 结构 ,能 够 在 每 一 跳 都 提供 区 分 排队 和 调度 的 功能 。 

(2) 路 由 和 流量 均匀 分 配 。 由 于 在 网 络 中 存在 多 条 并 行 的 通路 ,在 这 些 路 径 上 进行 流 
量 分 配 可 以 降低 每 一 条 路 径 上 的 平均 负载 和 突 发 度 。 这 样 可 以 提高 网 络 的 实际 服务 质量 ， 
因为 每 一 个 路 由 器 都 将 减少 分 组 丢失 和 发 生 拌 动 的 可 能 性 。 发 现 和 利用 非 最 短路 径 进行 转 
发 是 必要 的 。 

(3) 信 令 和 参数 提供 机 制 。QoS 保证 需要 对 网 络 进行 管理 ,需要 在 网 络 上 的 所 有 节点 
上 提供 某 种 程度 的 QoS 参数 发 布 和 控制 机 制 。 当 用 户 设 置 或 者 修改 了 某 种 端 到 端的 QoS 
需求 时 ,相关 的 信息 能 够 发 布 出 去 。QoS 的 实现 可 以 采用 信 令 机 制 , 即 向 通路 上 的 每 一 跳 
发 送 消息 ,使 其 能 够 识别 那些 需要 特定 业务 流 信 令 和 特定 处 理 方式 的 业务 流 。 

针对 路 由 器 的 排队 策略 和 队列 管理 的 动态 性 ,在 节点 的 每 一 个 输出 端 设置 一 个 队列 显 
然 是 不 够 的 ,需要 在 每 一 个 端口 为 每 一 种 类 型 的 服务 提供 一 个 队列 ,其 中 每 个 队列 都 采取 各 
自分 组 丢弃 的 策略 。 这 样 ,需要 在 传统 路 由 器 中 增加 一 种 业务 流 分 类 方法 ,将 输入 的 业务 流 
分 门 别 类 地 放 入 不 同 的 输出 队列 ,这 些 队 列 共享 一 条 相同 的 输出 链 路 。 因 此 ,需要 有 一 种 调 
度 机 制 ,裁决 各 队列 对 输出 链 路 的 使 用 。 分 组 在 路 由 器 中 需要 经 过 分 类 、 排 队 和 调度 过 程 
(CQS) ,这 样 的 路 由 器 称 为 CQS 结构 的 路 由 器 。 

在 CQS 结构 路 由 器 中 ,多 种 业务 流 共享 实际 链 路 ,一 个 业务 流 的 分 组 被 调度 输出 时 ,其 
他 业务 流 的 分 组 只 能 等 待 。 等 待 的 时 间 取 决 于 该 分 组 的 发 送 时 间 , 当 分 组 很 长 时 , 别 的 业务 
流 分 组 等 待 的 时 间 就 很 长 。 这 种 等 待 事件 的 不 确定 性 将 导致 分 组 延迟 的 抖动 。 一 种 有 效 的 
解决 方法 是 对 分 组 进行 分 段 操作 。 队 列 中 对 分 组 的 数据 分 段 进行 排队 和 调度 ,而 不 是 对 分 
组 进行 排 对 和 调度 。 

增加 分 段 的 功能 ,可 以 通过 选择 适当 的 分 段 长 度 , 以 减少 延迟 的 抖动 。 有 利于 网 络 质量 
控制 ,但 是 却 增加 了 设备 的 开销 。QoS 控制 问题 的 解决 方案 及 实现 都 是 基于 网 络 边缘 一 一 
核心 路 由 模型 ,将 路 由 器 分 为 边缘 路 由 器 和 核心 路 由 器 ,边缘 路 由 器 对 分 组 进行 分 类 查找 、 
管理 和 调度 等 操作 , 它 可 以 拒绝 外 部 的 具有 太 高 服务 质量 请 求 的 业务 流 。 核 心路 由 器 处 理 
拥塞 现象 , 它 采 用 统计 时 分 复 用 方式 使 网 络 资源 的 利用 率 得 到 提高 。 业 务 流 在 进入 核心 路 
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由 器 之 前 ,由 边缘 路 由 器 处 理 每 一 个 业务 流 的 特性 ,汇集 各 种 业务 类 型 。 这 种 模型 将 复杂 的 
处 理工 作 留 给 边缘 路 由 器 ,核心 路 由 器 的 工作 将 更 加 集中 和 简单 。 因 为 在 边缘 路 由 器 中 可 
以 实现 几 百 种 甚至 上 千 种 业务 类 型 的 分 类 和 排队 ,而 核心 路 由 器 则 只 需要 少量 队列 。 

实现 QoS 的 机 制 是 整形 和 管制 方法 ,从 队列 管理 人手 ,在 业务 流 进 入 核心 路 由 器 之 前 ， 
由 边缘 路 由 器 处 理 每 一 个 业务 流 的 特性 。 流 量 整形 (traffic shaping) 就 是 一 种 为 一 个 业务 
流 类 型 设置 一 个 可 用 最 大 带宽 或 者 最 小 分 组 间隔 的 整形 机 制 , 用 整形 调度 器 对 业务 流 进行 
处 理 来 提供 最 小 服务 间隔 和 最 大 服务 间隔 。 分 组 到 达 间 隔 小 于 最 小 服务 间隔 时 业务 流 在 发 
送 前 被 缓存 。“ 漏 桶 算法 ”就 是 一 种 简单 的 整形 调度 器 , 它 每 隔 固定 的 时 间 从 队列 中 取出 一 
个 分 组 ,而 不 管 分 组 到 达 的 间隔 多 么 接近 。 在 短 时 间 到 达 过 多 的 分 组 时 ,分 组 就 会 被 简单 地 
丢弃 。 这 个 过 程 称 为 “管制 ”。 管 制 对 业务 流 采取 措施 ,使 其 符合 预定 要 求 。 各 个 边缘 路 由 
器 在 每 个 业务 流 类 型 进入 核心 路 由 之 前 对 其 进行 强制 性 整形 和 管制 ,使 得 业务 流 在 整体 上 
有 具 有 顺序 性 ,平滑 性 和 可 预测 性 。 

带 标记 的 管制 方法 是 一 种 管制 方法 的 改进 。 带 标记 的 管制 方法 是 对 超过 容 限 的 分 组 进 
行 标记 ,而 不 是 立即 丢弃 。 被 加 上 标记 的 分 组 在 后 续 的 路 由 转发 中 具有 更 低 的 优先 级 。 如 
果 后 续 路 由 器 发 生 了 拥塞 , 则 首先 丢弃 的 是 被 标记 过 的 分 组 。 另 一 种 改进 的 管制 方法 是 对 
到 达 的 分 组 设置 两 个 门限 。 低 于 较 低 门限 的 分 组 不 加 标记 地 被 转发 。 如 果 分 组 的 突 发 到 达 
或 者 超过 一 个 较 低 的 门限 ,分 组 将 被 标记 并 转发 ,其 转发 策略 就 是 带 标记 的 管制 方法 。 如 果 
分 组 的 突 发 超过 了 一 个 较 高 的 门限 ,分 组 就 被 丢弃 。 上 述 方法 使 得 在 核心 路 由 咒 中 没有 其 
他 网 络 拥塞 的 情况 下 , 某 个 特定 的 业务 流 可 以 利用 更 高 的 带宽 。 


思考 题 


. SSL 协议 的 作用 是 什么 ? 该 协议 提供 了 哪 几 种 安全 特性 ? 
. 简 述 TLS 记录 协议 和 握手 协议 的 特点 。 
. 简 述 SSH 协议 的 应 用 。 
. SET 协议 的 主要 目标 是 什么 ? 
. 简 述 IPSec 协议 原理 。 
. 当 使 用 隧道 方式 时 ,构造 了 新 的 外 部 IP 首部 。 对 于 IPv4 和 IPv6, 指 出 哪些 外 部 值 
是 从 内 部 值 获得 的 ,哪些 值 是 独立 于 内 部 值 构造 出 来 的 。 
7. 查找 关于 SSL 协议 的 标准 文档 ,设计 一 个 具体 应 用 实例 。 
8. 什么 是 QoS? 其 类 型 有 哪些 ? 
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网 络 任何 一 个 环节 出 现 故 障 , 都 有 可 能 造成 相当 大 的 损失 。 由 于 网 络 硬件 设备 的 基础 
和 支撑 地 位 ,对 网 络 硬件 系统 的 安全 保障 的 实施 所 进行 的 探讨 就 十 分 有 意义 了 ,所 以 网 络 安 
全 离 不 开 网 络 设备 的 安全 ,本 章 就 一 些 常见 网 络 设备 上 的 安全 技术 做 了 一 些 基 本 知识 的 讲 
解 ,包括 交换 机 上 的 VLAN 技术 ,路 由 器 上 的 VPN 技术 ,以 及 无 线路 由 器 接 入 安全 。 

本 章 的 主要 内 容 有 : 

。 交换 机 原理 及 VLAN 原理 ; 

。 加 密 技术 简介 ; 

。 身份 认证 技术 原理 ; 

。 VPN 技术 原理 ; 

。 无 线 网 络 安 全 技术 原理 。 


4.1 局 域 网 络 安全 技术 


以 太 网 中 存在 冲突 域 和 广播 域 ,会 造成 网 络 拥塞 和 信息 泄露 。 处 在 同一 个 冲突 域 中 的 
用 户 , 由 于 共享 数据 通道 ,因此 同一 时 刻 只 能 有 一 个 用 户 发 送信 息 。 当 网 络 中 的 用 户 较 多 
时 ,可 能 会 造成 网 络 拥塞 。 并 且 , 同 一 冲突 域 下 的 主机 ,可 以 通过 监听 得 到 冲突 域 中 的 数据 ， 
这 造成 了 信息 的 泄露 。 除 此 之 外 ,在 同一 个 广播 域 中 ,广播 数据 将 向 整个 广播 域 发 送 , 可 能 
会 产生 广播 风暴 。 局 域 网 络 的 安全 技术 主要 思想 就 是 减少 广播 域 和 冲突 域 的 范围 ,使 网 络 
中 的 数据 只 能 被 合法 用 户 接收 。 目 前 ,主要 解决 办 法 有 : 网 络 分 段 ,以 交换 式 集线器 代替 共 
享 式 集线器 ,划分 VLAN 等 。 


4.1.1 网 络 分 段 


网 络 分 段 是 保证 安全 的 一 项 重要 措施 .同时 也 是 一 项 基础 措施 。 其 指导 思想 是 分 割 广 
播 域 ,将 用 户 与 网 络 资源 相互 隔离 ,从 而 达到 限制 用 户 非法 访问 的 目的 。 

从 技术 角度 看 ,网 络 分 段 可 分 为 物理 分 段 和 逻辑 分 段 两 种 方式 。 

1. 物理 分 段 

物理 分 段 通 常 是 指 将 网 络 在 物理 层 和 数据 链 路 层 ( 即 ISO/OSI 模型 中 的 第 一 层 和 第 二 
层 ) 上 分 为 若干 网 络 ,使 各 网 络 相互 之 间 无 法 进行 直接 通信 。 一 般 的 局 域 网 大 多 采用 以 交换 
机 为 中 心 . 路 由 器 为 边界 的 网 络 格局 ,利用 交换 机 MAC 地 址 的 访问 控制 来 隔离 网 络 。 

2. 逻辑 分 段 

逻辑 分 段 则 是 指 将 整个 系统 在 网 络 层 (ISO/OSI 模型 中 的 第 三 层 ) 上 进行 分 段 。 对 于 
TCP/IP 网 络 , 可 把 网 络 分 成 若干 IP 子 网 。 各 子 网 间 必 须 通 过 路 由 器 、 路 由 交换 机 、 网 关 或 
防火 墙 等 设备 连接 ,并 利用 这 些 中 间 设 备 ( 含 软件 ,硬件 ) 的 安全 机 制 来 控制 各 子 网 间 的 
访问 。 
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无 论 是 物理 分 段 , 还 是 逻辑 分 段 , 其 宗旨 都 是 将 一 个 网 络 划分 成 多 个 子 网 ,只 允许 同一 
子 网 内 的 用 户 相 互通 信 。 也 就 是 说 ,各 子 网 的 数据 包 只 能 在 各 自 的 子 网 中 传送 ,不 能 发 送 到 
除 本 身 以 外 的 其 他 子 网 中 。 这 样 不 同 子 网 的 用 户 就 不 会 收 到 彼此 的 数据 包 , 从 而 确保 了 子 
网 中 的 信息 不 会 被 其 他 子 网 用 户 监听 。 而 广播 报 文 也 会 被 子 网 限制 ,只 在 一 个 子 网 中 广播 ， 
达到 了 隔离 广播 风暴 ,以 及 将 非法 用 户 和 网 络 资源 相互 隔离 的 目的 。 不 在 同一 个 子 网 中 的 
用 户 只 有 通过 三 层 交 换 机 或 路 由 器 才能 互相 访问 。 

对 网 络 进行 分 段 管理 ,可 以 缩小 冲突 域 和 广播 域 的 范围 ,隔离 网 段 内 部 的 广播 风暴 ,使 
其 不 至 影响 其 他 网 段 中 的 用 户 ,提高 了 网 络 的 稳定 性 和 实际 可 用 带宽 ,也 便于 网 络 的 维护 和 
管理 。 


4.1.2 以 交换 式 集线器 代替 共享 式 集线器 


1. 共享 式 集线器 

共享 式 集线器 (Hub) 是 单一 总 线 共 享 式 的 设备 ,提供 很 多 网 络 接口 ,负责 将 网 络 中 的 多 
个 计算 机 连 在 一 起 。 所 谓 共 享 是 指 集线器 的 所 有 用 户 ( 端 口 ) 共 享 一 条 数据 总 线 。 集 线 器 只 
是 简单 地 将 在 一 个 端口 上 接受 到 的 数据 复制 发 往 其 他 所 有 的 端口 (用 户 )。 所 以 用 Hub 连 
接 的 网 络 处 于 同一 个 冲突 域 中 , 即 在 同一 时 刻 , 网 络 中 只 能 有 一 个 站 点 能 够 发 送 数据 。 当 网 络 
中 有 两 个 或 多 个 站 点 同时 进行 通信 时 ,将 会 产生 冲突 。 当 网 络 中 站 点 较 多 时 ,利用 Hub 连 网 
是 不 可 取 的 。 因 为 冲突 将 会 频繁 发 生 ,严重 影响 了 数据 的 传输 速率 ,也 限制 了 网 络 的 扩展 性 。 

使 用 共享 式 集线器 ,当局 域 网 中 的 一 台 主 机 与 其 他 主机 进行 通信 时 ,数据 包 将 发 往 连接 
在 Hub 上 的 所 有 设备 , 即 广播 方式 。 设 备 接 到 消息 后 ,会 检查 报头 中 的 目的 MAC 地 址 , 若 
自己 的 MAC 地 址 与 报头 中 的 目的 MAC 地 址 相同 , 则 接受 该 数据 包 , 和 否则 丢弃 。 然 而 , 当 
网 络 中 的 主机 处 于 监听 模式 时 ,无 论 接 收 到 的 数据 包 中 目标 地 址 是 什么 ,主机 都 将 其 接收 下 
来 。 然 后 通过 对 数据 包 信息 进行 分 析 ,就 获取 到 了 局 域 网 中 通信 的 数据 。 一 台 计 算 机 可 以 
监听 同一 网 段 中 的 所 有 的 数据 包 。 这 给 局 域 网 带 来 了 很 大 的 安全 隐患 。 例 如 ,主机 A 通过 
Telnet 远程 登录 到 主机 B, 由 于 Telnet 中 的 用 户 名 、 密 码 传送 皆 以 明文 方式 ,这 将 被 冲突 域 
中 的 黑客 利用 ;或 者 冲突 域 中 的 一 台 主 机 被 外 部 网 络 的 黑客 攻破 ,整个 冲突 域 中 的 数据 传输 
都 暴露 在 黑客 面前 ,黑客 便 可 通过 此 方法 来 远程 操控 内 部 主机 。 

2. 交换 式 集线器 

交换 式 集线器 通过 判断 数据 帧 的 MAC 地 址 ,从 而 将 数据 帧 从 合适 的 端口 发 送出 去 。 
而 不 是 像 一 般 Hub 将 接受 到 的 数据 包 复制 后 进行 广播 。 这 样 ,网 络 中 的 非 目的 主机 将 不 会 
接受 到 该 数据 包 ,使 局 域 网 面向 点 对 点 通信 。 交 换 机 的 转发 采用 交换 方式 ,使 交换 机 的 冲突 
域 只 局 限于 同一 个 端口 下 ,并 且 所 有 端口 都 共享 同一 个 指定 的 带宽 。 例 如 一 个 带宽 为 
100Mbps 的 交换 机 有 10 个 端口 ,每 个 端口 的 带宽 都 为 100Mbps。 而 一 个 带宽 为 100Mbps 
的 Hub 有 10 个 端口 ,每 个 口 的 带宽 都 为 10Mbps。 

交换 式 集线器 之 所 以 能 够 只 向 合适 的 端口 发 送 数据 帧 ,是 因为 在 交换 机 中 ,维持 着 一 张 
MAC 地 址 表 。MAC 地 址 表 中 记录 了 整个 网 络 中 所 有 的 MAC 地 址 与 端口 的 对 应 信息 ,其 
结构 如 表 4-1 所 示 。 某 一 帧 需要 转发 时 ,交换 机 将 收 到 数据 帧 的 目的 MAC 地 址 与 MAC 地 
址 表 进 行 查找 ,从 而 知道 该 数据 帧 该 发 往 哪 个 端口 。 交 换 机 是 第 一 次 启动 时 ,MAC 地 址 表 
为 空 。 当 交换 机 收 到 一 个 目的 MAC 地 址 在 MAC 地 址 表 中 没有 记录 的 数据 帧 时 , 它 将 像 
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Hub 一 样 ,将 此 帧 向 除了 收 到 该 帧 以 外 的 其 他 端口 转发 。 
表 4-1 MAC 地 址 表 结 构 
目的 MAC 地 址 发 送 端口 目的 MAC 地 址 发 送 端口 目的 MAC 地 址 发 送 端口 


MI E0/2 M2 E0/10 M3 E0/14 


使 用 交换 式 集线器 ,不 仅 分 割 了 冲突 域 ,增强 了 局 域 网 中 数据 通信 的 安全 性 ,而 且 还 提 
供 了 差错 校 验 、 流 量 控 制 等 功能 。 此 外 ,还 可 以 在 交换 式 集线器 中 利用 VLAN 技术 ,进一步 
隔离 非法 用 户 和 网 络 资源 。 

因此 ,应 该 尽量 以 交换 式 集线器 代替 共享 式 集线器 ,使 单 播 包 仅 在 两 个 节点 之 间 传 送 ， 
从 而 减少 非法 监听 。 当 然 ,交换 式 集线器 只 能 控制 单 播 包 而 无 法 控制 广播 包 (broadcast 
packet) 和 多 播 包 (multicast packet) 。 所 幸 的 是 ,广播 包 和 多 播 包 内 的 关键 信息 ,要 远 远 少 
于 单 播 包 。 


4.1.3  VLAN 的 划分 


在 标准 以 太 网 出 现 后 ,同一 个 交换 机 下 不 同 的 端口 已 经 不 再 在 同一 个 冲突 域 中 ,连接 在 
交换 机 下 的 主机 进行 点 到 点 通信 时 也 不 再 影响 其 他 主机 的 正常 通信 。 但 是 ,广播 报 文 和 目 
的 MAC 地 址 不 在 MAC 地 址 表 中 记录 的 报 文 ,都 不 受 端口 的 局 限 ,而 是 发 到 整个 广播 域 的 
所 有 端口 。 为 了 克服 以 太 网 的 广播 问题 ,运用 VLAN( 虚 拟 局 域 网 ) 技 术 , 将 以 太 网 通信 变 
为 点 到 点 通信 ,可 以 防止 部 分 网 络 监听 的 入 侵 。 

VLAN 逻辑 上 把 网 络 资源 和 网 络 用 户 按 照 一 定 的 原则 进行 划分 ,把 一 个 物理 上 的 网 络 
划分 成 多 个 小 的 逻辑 网 络 。 这 些小 的 逻辑 网 络 形成 各 自 的 广播 域 ,也 就 是 虚拟 局 域 网 。 利 
JH VLAN 技术 ,在 同一 个 VLAN 中 可 以 相互 通信 ,然而 VLAN 之 间 必 须 借 助 三 层 协议 (IP 
协议 ) ,利用 TP 地 址 才能 访问 , 即 一 个 VLAN 的 数据 包 不 会 发 送 到 另 一 个 VLAN。 这 样 , 其 
他 VLAN 的 网 络 上 将 不 会 接受 到 任何 该 VLAN 的 数据 包 , 从 而 确保 了 该 VLAN 的 数据 不 
被 其 他 VLAN 用 户 监听 ,实现 了 数据 的 保密 。 

目前 的 VLAN 技术 主要 有 四 种 : 基于 交换 机 端口 的 VLAN、 基 于 节点 MAC 地 址 的 
VLAN、 基 于 协议 的 VLAN 和 基于 子 网 的 VLAN 划分 。 

CD 基于 端口 的 VLAN ,就 是 将 交换 机 的 某 几 个 端口 指定 为 在 一 个 VLAN 中 。 如 果 网 
络 中 ,存在 多 个 交换 机 ,还 可 以 指定 交换 机 1 的 端口 和 交换 机 2 的 端口 属于 同一 个 VLAN, 
如 表 4-2 所 示 。 网 络 中 的 设备 属于 哪个 VLAN 只 与 它 所 连接 的 端口 有 关 ,而 与 其 他 任何 因 
素 无 关 。 基 于 端口 的 VLAN 划分 的 优点 就 是 操作 简单 ,只 需要 指定 交换 机 的 端口 即 可 , 基 
于 端口 VLAN 划分 技术 是 一 个 非常 成 熟 的 技术 ,使 用 相当 广泛 ,目前 大 多 数 的 交换 机 都 支 
持 这 种 技术 。 但 是 如 果 VLAN 用 户 离开 了 原来 的 接 入 端口 ,连接 到 新 的 交换 机 端口 上 ,就 
需要 重新 指定 新 的 连接 端口 所 在 的 VLAN ID. 

(2) 基于 节点 MAC 地 址 的 VLAN 划分 ,就 是 根据 连接 在 交换 机 上 的 设备 的 MAC 地 
址 来 划分 网 络 ,如 表 4-3 所 示 。 网 络 中 的 设备 属于 哪个 VLAN 只 与 它 的 MAC 地 址 有 关 , 而 
与 其 他 任何 因素 无 关 。 采 用 基于 MAC 的 VLAN 不 能 防止 MAC 欺骗 攻击 ,将 面临 假冒 
MAC 地 址 的 攻击 。 假 如 接 人 网 络 的 用 户 更 换 网 卡 , 则 需要 重新 配置 新 的 MAC 地 址 所 在 的 
VLAN. 
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表 4-2 基于 端口 划分 VLAN 的 VLAN 映射 简化 表 


端口 VLAN ID 端口 VLAN ID 端口 VLAN ID 
Port 1 VLAN 2 i 
Port 2 VLAN 4 Port 9 VLAN 2 
表 4-3 基于 节点 MAC 地 址 划分 VLAN 的 VLAN 映射 简化 表 
MAC 地 址 VLAN ID MAC 地 址 VLAN ID 
MAC A VLAN 2 MACC VLAN 1 
MAC B VLAN 3 


(3) 基于 协议 的 V LAN 就 是 根据 网 络 中 的 主机 使 用 的 网 络 协议 来 划分 广播 域 的 ,如 
表 4-4 所 示 。 网 络 中 的 主机 属于 哪个 VLAN 只 与 它 所 使 用 的 协议 有 关 , 而 与 其 他 任何 因素 
无 关 。 这 种 VLAN 划分 在 实际 中 很 少 使 用 ,因为 目前 普遍 使 用 IP 协议 。 


表 4-4 基于 协议 划分 VLAN 的 VLAN 映射 简化 表 


协议 类 型 


VLAN ID 


协议 类 型 


VLAN ID 协议 类 型 


VLAN ID 


IP 


VLAN 2 


IPX 


VLAN 3 


(4) 基于 子 网 的 VLAN 划分 ,就 是 根据 网 络 中 的 主机 的 IP 地 址 所 在 的 子 网 来 划分 网 
络 , 如 表 4-5 所 示 。 网 络 中 的 设备 属于 哪个 VLAN 只 与 它 所 在 哪个 子 网 有 关 ,而 与 其 他 任 
何 因素 无 关 。 这 种 VLAN 划分 方法 虽然 很 灵活 ,易于 管理 , 当 用 户 移动 位 置 而 不 需要 重新 
配置 VLAN。 但 它 会 降低 交换 机 的 传输 速度 ,耗费 交换 机 不 少 的 资源 ,因为 在 转发 数据 时 ， 
交换 机 必须 检查 数据 包 中 的 IP 地 址 ,判断 它 所 属 的 VLAN。 并 且 同 一 个 端口 还 可 能 存在 
多 个 VLAN 用 户 ,这 对 广播 报 文 的 抑制 效率 有 所 下 降 。 


表 4-5 基于 子 网 划分 VLAN 的 VLAN 映射 简化 表 


IP 子 网 VLAN ID IP 子 网 VLAN ID 
192. 168. 1. 0 /24 VLAN2 192. 168. 3. 0/24 VLAN2 
192. 168. 2. 0/24 VLAN3 


这 四 种 VLAN 技术 中 ,最 常用 的 方法 是 基于 端口 的 VLAN 划分 。 虽 然 这 种 方法 稍 欠 
灵活 ,但 却 比 较 成 熟 ,在 实际 应 用 中 效果 显著 , 广 受 欢迎 。 基 于 MAC 地 址 的 VLAN 为 主机 
物理 位 置 的 移动 提供 了 可 能 性 ,但 同时 也 潜藏 着 遭受 MAC 欺骗 攻击 的 隐患 。 而 基于 协议 
的 VLAN 划分 则 稍 显 不 足 ,不 符合 实际 。 

在 集中 式 网 络 环境 下 ,可 以 将 中 心 的 所 有 主机 系统 集中 到 一 个 VLAN 里 ,在 这 个 
VLAN 里 不 允许 有 任何 用 户 节点 ,从 而 较 好 地 保护 敏感 的 主机 资源 。 在 分 布 式 网 络 环境 
下 ,可 以 按 机 构 或 部 门 的 设置 来 划分 VLAN。 各 部 门 内 部 的 所 有 服务 器 和 用 户 节点 都 在 各 
自 的 VLAN 内 , 互 不 侵扰 。VLAN 内 部 的 连接 采用 交换 实现 ,而 VLAN 5 VLAN 之 间 的 
连接 则 采用 路 由 实现 。 
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4.2 广域网 络 安全 技术 


在 广域网 中 ,数据 在 公 网 上 传输 ,如 果 没 有 特殊 的 保护 和 控制 措施 ,数据 很 容易 被 截取 、 
破译 和 算 改 。 如 使 用 “ 包 检 测 " 工 具 就 能 抓 取 并 分 析 数 据 ,从 而 可 以 破译 公 网 上 的 信息 。 因 
此 ,很 有 必要 采取 相应 的 措施 ,使 得 广域网 中 发 送 方 与 接收 方 传输 的 数据 得 到 以 下 四 点 
保证 : 

(1) 除了 发 送 方 和 接收 方 外 ,其 他 人 无 法 知悉 数据 内 容 ( 机 密 性 ); 

(2) 传输 过 程 中 不 被 算 改 (完整 性 ); 

(3) 发 送 方 能 识别 接收 方 不 是 假冒 的 ( 非 伪装 性 ); 

(4) 发 送 方 不 能 否认 自己 的 发 送行 为 (不 可 抵赖 性 ) 。 

为 了 达到 以 上 安全 目的 ,广域网 通常 采用 以 下 安全 解决 办 法 。 


4.2.1 加 密 技 术 


1. 内 容 简 介 

加 密 技 术 为 通信 信息 流 提供 机 密 性 。 同 时 ,对 其 他 安全 机 制 的 实现 起 主导 作用 或 辅助 
作用 。 加 密 型 网 络 的 主要 思想 是 传输 在 网 络 上 的 数据 的 安全 性 不 依赖 与 安全 的 通信 信道 ， 
而 是 依赖 于 对 数据 进行 加 密 的 加 密 算法 、 密 钥 和 对 密 钥 的 管理 技术 。 

任何 一 种 成 熟 的 加 密 技 术 都 是 多 种 加 密 算法 的 组 合 ,或 者 是 加 密 算法 和 其 他 应 用 软件 
的 结合 。 加 密 技术 的 使 用 提出 了 密 钥 管 理 的 需求 ,从 而 派生 出 了 密 钥 管 理 技术 。 

2. 加 密 算法 

数据 加 密 的 算法 有 三 类 : 对 称 加 密 算法 . 非 对 称 加 密 算法 和 不 可 逆 加 密 算法 。 

CD 对 称 加 密 算 法 ,加密 和 解密 使 用 同样 的 密 钥 。 使 用 对 称 加 密 算法 ,发 信 方 使 用 一 个 
密 钥 经 过 加 密 算法 加 密 信息 , 接 信 方 也 必须 使 用 相同 的 密 钥 才 能 解密 信息 。 这 种 加 密 算法 
的 优点 是 加 密 速度 快 。 不 足 之 处 是 ,发 送 方 和 接收 方 使 用 同一 个 密 钥 ,数据 的 安全 性 得 不 到 
保证 , 且 接 收 方 必须 事先 知道 发 送 方 的 加 密 密 钥 才能 解读 加 密 信息 。 

每 对 用 户 每 次 使 用 对 称 加 密 算法 时 ,都 需要 使 用 其 他 人 不 知道 的 唯一 密 钥 ,这 会 使 得 收 
发 双方 所 拥有 的 密 钥 数量 成 几何 级 数 增长 , 密 钥 管理 成 为 用 户 的 负担 。 对 称 加 密 算法 在 分 
布 式 网 络 系统 上 使 用 较为 困难 ,主要 是 因为 密 钥 管理 困难 ,使 用 成 本 较 高 。 在 计算 机 专 网 系 
统 中 广泛 使 用 的 对 称 加 密 算 法 有 DES 和 IDEA 等 。 美 国 国家 标准 局 倡导 的 AES 即将 作为 
新 标准 取代 DES, 

(2) 非 对 称 加 密 算 法 ,加 密 和 解密 使 用 不 同 的 密 钥 。 这 种 加 密 算法 有 两 个 密 钥 ,一 个 公 
开 密 钥 ( 简 称 公 钥 ) 和 一 个 私有 密 钥 (简称 私 钥 ) 。 非 对 称 加 密 算法 的 原理 是 ,如 果 A 方 想 要 
给 B 方 发 送 只 有 B 方 才能 解读 的 加 密 信息 , 它 必须 知道 B 方 的 公 钥 ,然后 通过 B 方 的 公 钥 
加 密 信息 。B 方 接受 到 信息 后 ,利用 它 的 私 钥 解 密 信息 。 显 然 , 采 用 不 对 称 加 密 算法 ,收发 
信和 双方 在 通信 之 前 , 收 信 方 必须 将 自己 利用 非 对 称 加 密 算法 随机 生成 的 公 钥 送 给 发 信 方 ,而 
自己 保留 私 钥 。 

由 于 不 对 称 算法 拥有 两 个 密 钥 ,因而 特别 适用 于 分 布 式 系统 中 的 数据 加 密 。 广 泛 应 用 
的 不 对 称 加 密 算法 有 RSA 算法 和 美国 国家 标准 局 提出 的 DSA。 以 不 对 称 加 密 算 法 为 基础 
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的 加 密 技术 应 用 非常 广泛 。 此 种 算法 的 优点 是 ,提高 了 加 密 数据 的 安全 性 。 

(3) 不 可 逆 加 密 算 法 ,其 实 不 能 称 为 加 密 算 法 ,实际 上 是 一 种 散 列 函数 算法 。 该 算法 就 
是 数据 一 经 加 密 ,将 无 法 或 很 难 通过 密 文 来 解密 。 不 可 逆 算 法 不 需要 密 钥 , 它 通过 加 密 算法 
直接 对 输入 的 明文 进行 加 密 。 只 有 重新 输入 明文 ,并 再 次 经 过 同样 不 可 逆 的 加 密 算法 处 理 ， 
得 到 相同 的 加 密 密 文 并 被 系统 重新 识别 后 ,才能 真正 解密 。 不 可 逆 加 密 算法 不 存在 密 钥 保 
管 和 分 发 问题 ,非常 适合 在 分 布 式 网 络 系统 上 使 用 ,但 因 加 密 计算 复杂 ,工作 量 相当 繁重 , 通 
常 只 在 数据 量 有 限 的 情形 下 使 用 。 不 可 逆 加 密 算法 常用 的 有 MD5 算法 和 美国 国家 标准 局 
建议 的 不 可 逆 加 密 标准 SH A CSecure Hash Standard ,安全 散 列 标准 ) 等 。 

3. THAER 

绝 大 多 数 的 加 密 技术 的 安全 性 都 依赖 于 密 钥 ,因为 它们 的 加 密 算法 是 公开 的 。 如 果 加 
密 系统 使 用 的 密 钥 被 攻破 , 则 能 够 成 功 的 解读 使 用 该 密 钥 加 密 的 密 文 。 所 以 密 钥 的 安全 管 
理 是 保证 密码 系统 安全 的 关键 因素 。 当 然 也 有 一 些 协 议 的 密 钥 管理 中 ,通信 双方 也 会 对 使 
用 哪 种 加 密 算法 进行 协商 ,这 样 会 更 安全 。 

密 钥 管理 贯穿 于 密 钥 的 产生 存储、 分 发 ,更改 与 删除 等 诸多 方面 , 密 钥 的 管理 分 为 保密 
密 钥 (对 称 密 钥 ) 管 理 与 公开 密 钥 管理 两 大 类 。 

密 钥 管理 中 ,为 了 使 密 钥 更 安全 ,一 般 采 用 随机 生成 方式 ,产生 密 钥 。 密 钥 的 存储 也 要 
确保 密 钥 的 完整 性 和 可 用 性 ,如 对 密 钥 进 行 加 密 后 存储 在 数据 库 或 文件 中 。 密 钥 的 分 发 是 
密 钥 管理 的 核心 问题 ,也 是 密码 体制 中 非常 困难 的 一 个 问题 。 从 密 钥 的 属性 来 说 , 密 钥 的 分 
发 分 为 秘密 密 钥 的 分 发 和 公开 密 钥 的 分 发 。 目 前 有 关 秘 密 密 钥 分 发 方案 很 多 ,常用 的 有 
Kerberos 协议 和 Diffie-Hellman 密 钥 交换 协议 。 公 钥 一 般 采 用 数字 证 书 的 形式 分 发 。 在 一 
次 通信 中 ,如 果 一 直 用 一 个 密 钥 ,那么 被 破解 的 可 能 性 将 会 很 大 ,所 以 需要 常常 更 换 密 钥 ,这 
样 密 钥 就 有 了 一 个 生存 期 。 所 以 在 密码 系统 中 ,必须 有 一 个 策略 检查 密 钥 的 有 限期 。 当 怀 
疑 密 钥 泄 露 .被 攻破 或 已 过 期 时 ,要求 产生 一 个 新 的 密 钥 来 更 换 旧 的 密 钥 。 

任何 一 种 安全 技术 ,都 是 基于 密码 系统 的 (加 密 算法 、 密 钥 管 理 )。 如 PKI 的 认证 ,综合 
采用 了 MD5 算法 不 对 称 加 密 、 对 称 加 密 、 数 字 签 名 等 技术 ,很 好 地 将 安全 性 和 高 效 性 结合 
起 来 。 虚 拟 专用 网 (VPN) 技 术 的 数据 加 密 种 类 包括 : 对 称 加 密 算法 、 公 共 密 钥 算 法 等 ,如 
DES,3DES,IDEA, 


4.2.2 VPN 技术 


VPN( Virtual Private Network ,虚拟 专用 网 ) 是 在 公共 的 广域网 网 络 上 ,利用 VPN dx 
术 ,建立 了 一 条 仿真 的 点 到 点 的 专用 的 通信 信道 。 在 虚拟 网 专用 网 中 ,任意 两 个 节点 之 间 的 
连接 并 没有 传统 意义 上 的 专 设 的 物理 链 路 ,而 是 利用 某 种 公用 网 的 动态 资源 组 成 的 。 所 谓 
虚拟 ,是 指 用 户 不 必 铺 设 专用 的 物理 线路 ,而 是 使 用 Internet 公共 的 数据 链 路 。 所 谓 专 用 ， 
是 指 用 户 数 据 不 会 被 泄露 ,其 他 网 络 的 数据 不 会 渗入 到 虚拟 专用 网 中 。 

有 人 或 许 会 问 既然 是 在 公共 的 物理 信道 上 传输 ,怎么 确保 专用 网 上 的 数据 不 被 泄露 呢 ? 
外 网 上 的 数据 不 渗入 内 网 呢 ? 

VPN 技术 主要 包含 隧道 技术 、 加 密 技 术 、 身 份 认 证 技术 及 访问 控制 技术 、 密 钥 管 理 技 
术 。 既 然 是 在 公共 的 物理 信道 上 传输 ,可 以 考虑 从 数据 链 路 层 和 网 络 层 进行 数据 的 分 离 ,这 
就 是 利用 隧道 技术 。 将 所 要 传递 的 数据 加 密 后 选择 封装 在 二 层 协议 中 或 封装 在 三 层 协议 中 
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进行 传输 。 数 据 的 加 密 与 隧道 传输 ,保证 了 数据 的 机 密 性 。 被 封装 的 密 文 在 Internet 上 传 
递 时 所 经 由 的 路 径 是 一 条 逻辑 路 径 。 且 VPN 技术 中 运用 密 钥 管理 技术 ,能 够 生成 并 更 新 
客户 端 和 服务 器 的 加 密 密 钥 。 这 样 ,确保 了 信息 即时 被 获取 ,也 能 够 使 其 不 可 用 。 使 用 身份 
认证 技术 和 访问 控制 技术 ,可 以 对 用 户 的 身份 进行 鉴定 ,检查 用 户 是 否 是 合法 用 户 , 以 及 对 
各 种 资源 的 访问 权限 等 ,防止 了 资源 被 非法 访问 。 

VPN 网 络 的 高 度 安全 性 方便 性 、 易 扩展 性 、 成 本 低 等 优点 ,使 得 它 广 受 欢 迎 , 现 在 大 部 
分 用 于 企业 和 分 支 机 构 之 间 建 立 专用 网 。 


4.2.3 身份 认证 技术 


网 络 是 一 个 虚拟 的 世界 ,在 这 个 虚拟 世界 中 ,也 像 现 实 世界 一 样 ,存在 着 身份 欺骗 等 问 
题 。 攻 击 者 通过 盗用 别人 身份 .伪装 成 合法 用 户 ,抵赖 性 行为 等 ,对 资源 进行 窃取 、 破 坏 。 身 
份 认证 技术 就 是 为 了 防止 这 些 行为 而 产生 的 。 它 通过 识别 网 络 中 用 户 的 真实 性 和 合法 性 ， 
对 其 进行 授权 访问 或 是 拒绝 访问 。 

在 网 络 系统 中 的 身份 认证 技术 ,大 多 数 是 通过 多 种 安全 技术 的 结合 来 实现 的 ,可 以 根据 
不 同 的 资源 的 不 同 的 安全 需求 ,采用 不 同 的 安全 技术 策略 。 主 要 的 安全 策略 有 : 

1. 口令 认证 

口令 认证 是 最 简单 和 传统 的 认证 方式 。 在 计算 机 或 网 络 系统 上 已 建立 了 一 个 密码 管理 
系统 。 当 访问 者 访问 资源 时 ,验证 系统 提示 用 户 输入 口令 。 验 证 方 通过 检查 访问 者 的 输入 
口令 是 否 与 系统 文件 中 的 口令 相符 来 决定 允许 访问 还 是 拒绝 访问 。 这 种 技术 操作 简单 、 管 
理 方便 ,被 广泛 的 应 用 到 网 络 的 资源 保护 中 。 但 其 不 足 之 处 有 以 下 两 点 : 

CD 基于 口令 的 身份 识别 系统 存在 口令 泄露 .口令 猜测 .口令 重 放 以 及 线路 穷 听 等 
弱点 。 

(2) 只 能 进行 单项 认证 。 即 只 能 是 系统 认证 用 户 , 而 用 户 不 能 认证 系统 的 合法 性 。 攻 
击 者 可 能 伪装 成 系统 骗取 用 户口 令 。 

2. 智能 卡 身 份 认证 技术 

智能 卡 身份 认证 技术 被 广泛 的 运用 于 银行 .保险 .医疗 的 行业 ,如 银行 卡 。 它 的 主要 技 
术 是 在 卡 上 存储 用 户 个 性 化 的 秘密 信息 .同时 在 验证 服务 器 中 也 存在 这 个 秘密 信息 。 进 行 
认证 时 ,用 户 输入 个 人 身份 识别 码 (PKD) ,只 有 输入 正确 的 用 户 设 别 码 ,才能 读 出 卡 上 的 信 
息 。 这 种 方式 的 认证 有 很 高 的 安全 性 ,即使 PKI 外 漏 或 智能 卡 丢失 ,用户 仍 然 不 会 被 冒充 。 

3. 基于 PKI 的 数字 签名 身份 认证 

PKI 技术 是 基于 公开 密 钥 密码 技术 的 。 在 公开 密 钥 体 制 下 ,公有 和 密 钥 是 公开 的 ,私有 密 
钥 只 掌握 在 通信 的 一 方 。 通 过 公开 密 钥 不 能 推算 出 私有 密 钥 。 所 以 只 有 拥有 私 钥 才能 正确 
解密 信息 。 从 另 一 个 角度 说 ,私有 密 钥 代 表 了 解密 者 的 身份 特征 ,可 以 作为 身份 识别 的 
参数 。 

数字 签名 中 使 用 散 列 函数 .就 是 输入 一 个 可 变 的 字符 串 ( 原 报 文 ) ,输出 一 个 固定 长 度 的 
字符 串 ,该 串 被 称 为 输入 的 散 列 值 ( 消 息 摘要 ) ,在 数学 上 保证 : 只 要 改动 报 文 的 任何 一 个 位 
置 ,重新 计算 出 来 的 散 列 值 就 会 和 原来 的 值 不 一 样 , 这 样 确保 了 报 文 的 不 可 更 改 性 。 

发 送 方 利用 自己 的 私 钥 对 散 列 值 进行 加 密 . 然 后 和 原 报 文 一 起 发 给 接受 者 。 接 受 者 接 
到 报 文 后 ,用 发 送 方 的 公 钥 解密 散 列 值 。 然 后 用 相同 的 散 列 函数 对 原 报 文 计算 散 列 值 , 若 计 
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算 后 的 散 列 值 与 接受 到 的 散 列 值 相同 ,可 知 数据 是 完整 的 和 正确 的 。 

数字 签名 与 PKI 的 结合 ,防止 了 签名 的 伪造 、 抵 赖 、 骨 充 和 自 改 。 现 普遍 的 用 于 银行 、 
电子 贸易 等 领域 。 

4. 生物 认证 、 多 因素 认证 、 属 性 认证 

生物 认证 技术 是 利用 个 人 的 独一无二 的 特征 进行 身份 识别 ,如 指纹 、 视 网 膜 、 虹 膜 、 面 
容 、 声 音 等 ,这 种 认证 技术 目前 正确 识别 率 不 高 ,存在 误 认 、 拒 认 、 特 征 不 能 录入 等 缺点 ,属于 
发 展 中 的 认证 方式 。 

多 因素 认证 是 有 效 结合 多 种 单 因素 的 认证 方式 。 如 智能 卡 认 证 、Web 口令 认证 和 手机 
认证 。 多 种 生物 特征 的 多 因素 结合 认证 与 识别 技术 也 是 未 来 身份 认证 的 研究 方向 ,属性 认 
证 技术 主要 把 属性 证 书 的 授权 方案 和 认证 技术 结合 起 来 ,实现 用 户 身 份 认证 和 权限 的 管理 
和 分 配 。 该 方法 可 以 很 好 的 解决 完全 分 布 式 网 络 环境 中 的 身份 认证 和 细 粒 度 的 权限 分 配 
问题 。 

这 三 种 身份 认证 技术 都 属于 正在 研究 的 未 来 认证 技术 研究 方向 。 

身份 的 识别 要 求 只 能 有 合法 的 用 户 才 能 出 示 身 份 证 明 ,并且 出 示 证 据 的 权力 不 被 侵犯 。 
如 果 验 证 方 是 合法 的 , 则 只 需要 证 明 方 出 示 的 证 据 不 被 第 三 方 窃听 和 模仿 即 可 。 如 果 验 证 
方 不 可 信 , 这 就 需要 进行 双向 验证 。 身 份 识别 策略 的 选择 常常 与 使 用 环境 有 关 ,而 且 可 能 需 
要 与 时 间 戳 .同步 时 钟 ,两 方 或 三 方 握手 协议 结合 起 来 ,以 达到 所 需要 的 安全 级 别 。 


4.3 VPN 技术 


随 着 Internet 的 发 展 , 企 业 等 其 他 机 构 的 不 断 扩 大 ,为 了 实现 异地 机 构 的 专线 连接 ,就 
有 了 异地 建立 专 有 网 络 的 需求 。 在 早期 ,专用 网 络 的 组 件 方案 都 是 向 网 络 服务 提供 商 租用 
DDN 专线 。 采 用 这 种 方案 ,不 仅 需要 承担 昂贵 的 租用 资金 ,而 且 灵 活性 和 扩展 性 都 很 差 。 
现在 有 了 VPNCVirtual Private Network) 技 术 ,使 用 VPN 技术 ,可 以 实现 企业 内 部 网 与 分 
布 式 LAN ,移动 用 户 、 远 程 通信 用 户 的 安全 连接 ,这 种 组 建 方式 简单 .方便 .易于 扩展 、 成 
本 低 。 

VPN 虚拟 专用 网 技术 ,顾名思义 ,是 在 公共 的 网 络 通信 信道 上 ,实现 虚拟 专用 网 络 的 技 
术 。 它 是 利用 接 人 服务 器 .路 由 器 及 VPN 专用 设备 在 开放 的 Internet 上 ,通过 安全 的 协议 ， 
形成 一 条 虚拟 链 路 ,在 这 条 虚拟 线路 上 传输 数据 ,保证 数据 的 真实 性 和 机 密 性 ,实现 类 似 于 
专用 线路 连接 服务 的 技术 。 

VPN 技术 主要 包含 隧道 技术 .加 密 技 术 访问 控制 技术 。 这 些 技术 ,实现 了 数据 在 网 络 
上 传输 的 真实 性 和 机 密 性 。 


4.3.1 隧道 技术 


隧道 技术 是 一 种 通过 使 用 互联 网 络 的 基础 设施 在 网 络 之 间 传 递 数据 的 方式 。 使 用 隧道 
传递 的 数据 (或 负载 ) 可 以 是 不 同 协议 的 数据 帧 或 包 。 隧 道 协议 将 这 些 使 用 了 其 他 协议 的 数 
据 帧 或 包 重 新 封装 在 新 的 包头 中 发 送 。 新 的 包头 提供 了 路 由 信息 ,从 而 使 被 封装 的 负载 数 
据 能 够 通过 互联 网 络 传递 。 被 封装 的 数据 包 在 隧道 的 两 个 端点 之 间 通 过 公共 互联 网 络 进行 
路 由 。 被 封装 的 数据 包 在 公共 互联 网 络 上 传递 时 所 经 过 的 逻辑 路 径 称 为 隧道 。 一 旦 到 达 网 
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络 终点 ,数据 将 被 解 包 并 转发 到 最 终 目的 地 。 隧 道 技术 是 指 包 括 数 据 封 装 ,传输 和 解 包 在 内 
的 全 过 程 。 

VPN 具体 实现 是 采用 隧道 技术 ,而 隧道 是 通过 隧道 协议 实现 的 ,隧道 协议 规定 了 隧道 
的 建立 ,维护 和 删除 规则 以 及 怎样 将 企业 网 的 数据 封装 在 隧道 中 进行 传输 。 隧 道 协议 可 分 
为 第 二 层 隧道 协议 PPTP.L2F.L2TP 和 第 三 层 隧道 协议 IPSec 等 。 它 们 的 本 质 区 别 在 于 
用 户 的 数据 包 是 被 封装 在 哪 种 数据 包 中 在 隧道 中 传输 的 。 

无 论 哪 种 隧道 协议 都 是 由 传输 的 载体 .不同 的 封装 
格式 以 及 被 传输 数据 包 组 成 的 。 如 图 4-1 所 示 , 以 
L2TP 为 例 ,给 出 隧道 协议 的 组 成 。 

传输 协议 被 用 来 传送 封装 协议 。IP 是 一 种 常见 的 
传输 协议 ,这 是 因为 IP 具有 强大 的 路 由 选择 能 力 , 可 以 运行 于 不 同 介质 上 ,并 且 其 应 用 最 为 
广泛 。 此 外 , 帧 中 继 .ATM PVC 和 SVC 也 是 非常 合适 的 传输 协议 。 封 装 协议 被 用 来 建立 、 
保持 和 拆 纯 隧道 ,包括 L2F、L2TP、GRE 协议 。 而 乘客 协议 是 被 封装 的 协议 ,它们 可 以 是 
PPP、SLIP。 采用 隧道 协议 后 ,拨号 用 户 就 可 以 得 到 企业 内 部 网 IP 地 址 ,通过 对 PPP qut 
行 封装 ,用 户 数据 包 可 以 穿 过 防火 墙 到 达 内 部 网 。 

1. PPTP 隧道 协议 

PPTP(Point-to-PointTunnelingProtocol, 端 到 端 隧道 协议 ) 提 供 PPTP 客户 机 和 PPTP 
服务 器 之 间 的 加 密 通信 。PPTP 客户 机 是 指 运行 了 该 协议 的 PC, 如 启动 该 协议 的 
Windows95/98; PPTP 服务 器 是 指 运行 该 协议 的 服务 器 ,如 启动 该 协议 的 Windows NT 服 
Fito PPTP 可 看 作 是 PPP 协议 的 一 种 扩展 。 它 提供 了 一 种 在 Internet 上 建立 多 协议 的 安 
全 VPN 的 通信 方式 。 远 端 用 户 能 够 透 过 任何 支持 PPTP 的 ISP 访问 公司 的 专用 网 络 。 

通过 PPTP 客户 可 采用 拨号 方式 接 人 公共 IP. 网 络 Internet。 拨 号 客户 首先 按 常 规 方 
式 拨号 到 ISP 的 接 入 服务 器 (NAS) ,建立 PPP 连接 ;在 此 基础 上 ,客户 进行 二 次 拨号 建立 到 
PPTP 服务 器 的 连接 ,该 连接 称 为 PPTP 隧道 ,如 图 4-2 所 示 。 

其 实质 上 是 基于 IP 协议 上 的 另 一 个 PPP 连 
接 , 其 中 的 IP 包 可 以 封装 多 种 协议 数据 ,包括 
TCP/IP, IPX 和 NetBEUI, PPTP 采用 了 基于 
RSA 公司 RC4 的 数据 加 密 方法 ,保证 了 虚拟 连接 
通道 的 安全 性 。 对 于 直接 连 到 Internet. 上 的 客户 
则 不 需要 第 一 重 PPP 的 拨号 连接 ,可 以 直接 与 
PPTP 服务 器 建立 虚拟 通道 。PPTP 把 建立 隧道 的 
主动 权 交 给 了 用 户 , 但 用 户 需 要 在 其 PC 上 配置 
PPTP, 这 样 做 既 增 加 了 用 户 的 工作 量 又 会 造成 网 络 安全 隐患 。 另 外 PPTP 只 支持 IP 作为 
传输 协议 。 

PPTP 隧道 协议 可 以 广泛 的 应 用 于 远程 客户 端 对 一 个 私有 网 络 内 部 的 访问 。PPTP 协 
议 把 原来 的 IP 数据 包 作 为 PPP 的 有 效 载荷 进行 封装 并 使 用 RC4 算法 加 密 , 其 封装 格式 如 
图 4-3 所 示 。 在 传送 PPP 数据 包 时 ,使 用 了 Internet 的 一 般 性 路 由 封装 协议 (Generic 
Routing Encapsulation,GRE) 进 行 数据 封装 。 

PPTP 客户 机 或 PPTP 服务 器 接收 到 PPTP 数据 包 后 进行 处 理 的 过 程 如 下 : 


| 下 | uoe | nre | PPP( 数 据 ) 


传输 协议 ”封装 协议 ”乘客 协议 
图 4-1 隧道 协议 的 组 成 


图 4-2 远程 主机 访问 VPN 


第 4 章 网 络 设备 常见 安全 技术 


(1) 处 理 并 去 除数 据 链 路 层 的 报头 和 报 尾 ;处 理 并 去 除 IP 报头 。 


图 4-3 PPTP 的 封装 格式 


(2) 处 理 并 去 除 GRE 和 PPP 报头 。 
G) 如 果 需 要 的 话 , 对 PPP 有 效 载荷 进行 解密 或 解压 缩 。 
(4) 对 传输 数据 进行 接收 或 转发 处 理 。 


PPTP 的 认证 机 制 包 括 : 扩展 身份 认证 协议 EPA ,微软 询问 握手 认证 协议 MS-CHAP. 


询问 握手 认证 协议 CHAP, 口 令 字 认证 协议 PAP. 


2. L2TP 隧道 协议 


L2TP 综合 了 第 二 层 转发 协议 (L2F) 和 PPTP 的 特点 , 它 既 支 持 Client-LAN 型 的 VPN 
连接 ,也 支持 LAN-LAN 的 VPN 连接 。 它 支持 多 种 网 络 协议 ,如 IPX, 还 有 非 IPSec 的 安全 
协议 ,可 以 把 多 个 物理 通道 捆绑 成 单一 逻辑 通道 ,在 数据 安全 方面 ,可 以 使 用 IPSec 作为 加 
密 方式 。L2TP 主要 由 LAC 和 LNS 构成 。LAC 用 于 发 起 呼叫 、 接 受 呼 叫 和 建立 隧道 。 
LNS 是 隧道 的 终结 点 , 它 用 来 接收 数据 。 客 户 端 通过 公共 电话 网 拨号 接 人 L2TP 接 和 人 服务 
器 , 接 人 服务 器 如 果 判 断 用 户 是 要 建立 一 个 隧道 , 则 会 与 L2TP 服务 器 建立 隧道 ,如 


图 4-4 所 示 。 


和 PPTP 一 样 ,L2TP 也 是 将 原始 的 IP 数据 包 封 装 在 PPP 中 ,不 同 的 是 L2TP 使 用 


图 4-4 L2TP 隧道 协议 结构 


L2TP 网 络 服务 器 


数据 链 Pr TCP 或 数据 链 路 
路 标 头 | Header | GRE | PPP 关 部 | IP | Upp | 数据 | Cono 
| 14 


IPSec 对 数据 进行 加 密 , 所 以 L2 TP. 的 封装 分 为 两 个 阶段 ,如 图 4-5 所 示 。 


阶段 1: 
IP | upp | L2TP | e | TCP 或 UDP | 用 户 数据 
初始 数据 报 
阶段 2: 
IP | ESP 头 | UDP | L2TP | ppp | TCP 或 UDP | 用 户 数据 | ESP 尾 | IPSec 验证 信息 
初始 数据 报 


使 用 IPSec 加 密 


图 4-5 L2TP 的 两 阶段 封装 格式 
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3. GRE 隧道 技术 

GRE(Generic Routing Encapsulation ,通用 性 路 由 封装 ) 技 术 规 定 了 怎样 用 一 种 网 络 层 
协议 去 封装 另 一 种 网 络 层 协议 的 方法 。GRE 的 隧道 由 两 端的 源 IP 地 址 和 目的 TP 地 址 来 
定义 , 它 允 许 用 户 使 用 IP 封装 IP、IPX、AppleTalk, 并 支持 全 部 的 路 由 协议 如 RIP、OSPF、 
IGRP、EIGRP。 通 过 GRE, 用 户 可 以 利用 公共 IP 网 络 连 接 IPX 网 络 、AppleTalk 网 络 , 还 
可 以 使 用 保留 地 址 进行 网 络 互联 ,或 者 对 公 网 隐藏 企业 网 的 IP 地 址 ,如 图 4-6 说 明了 IPv6 
数据 包 如 何 通 过 GRE 隧道 穿越 IPv4 网 络 。 


IPv6 头 | Data IPv6 头 | Data | 


IPv6 网 络 
双 栈 路 由 器 


Data 


IPv4J 


图 4-6 IPv6 数据 包 通过 GRE 隧道 穿越 IPv4 网 络 


GRE 在 包头 中 包含 了 协议 类 型 ,这 用 于 标明 乘客 协议 的 类 型 ; 校 验 和 包括 了 GRE 的 包 
头 和 完整 的 乘客 协议 与 数据 ; 密 钥 用 于 接收 端 验证 接收 的 数据 ;序列 号 用 于 接收 端 数据 包 的 
排序 和 差错 控制 ;路 由 用 于 本 数据 包 的 路 由 。 

GRE 只 提供 了 数据 包 的 封装 , 它 并 没有 加 密 功能 来 防止 网 络 侦 听 和 攻击 。 所 以 在 实际 
环境 中 它 常 和 IPSec 在 一 起 使 用 ,由 IPSec 提供 用 户 数据 的 加 密 , 从 而 给 用 户 提 供 更 好 的 安 
全 性 。 

4. IPSec 隧道 技术 

PPTP、L2F 和 L2TP 协议 各 自 有 自己 的 优点 ,但 是 都 没有 很 好 地 解决 隧道 加 密 和 数据 
加 密 的 问题 。 而 IPSec 协议 把 多 种 安全 技术 集合 到 一 起 ,可 以 建立 一 个 安全 .可靠 的 隧道 。 
这 些 技术 包括 Diffie Hellman 密 钥 交换 技术 .DES IDEA 和 用 于 无 线 通 信 的 RC4 加 密 技 
术 , 散 列 函 数 算法 .MD5、SHA ,数字 签 名 技术 等 。IPSec 安全 结构 包括 3 个 基本 协议 : AH 
协议 .ESP fl ISAKMP. AH 协议 为 IP 包 提 供 信息 源 验证 和 完整 性 保证 ,ESP 提供 加 密 保 
证 ,ISAKMP 提供 双方 交流 时 的 共享 安全 信息 。 

IPSec 通过 上 述 3 个 基本 协议 在 TP. 包头 后 增加 新 的 字段 来 实现 安全 保证 。 如 图 4-7 是 
一 个 IPSec 数据 包 的 格式 。 


PEK AH 包头 “| ESPEX | 上 层 协议 数据 


图 4-7 IPSec 数据 包 格式 


AH 包头 可 以 保证 信息 源 的 可 靠 性 和 数据 的 完整 性 。 首 先 发 送 方 将 TP 包头 、 高 层 的 数 
据 、 公 共 密 钥 这 三 部 分 通过 某 种 散 列 算法 进行 计算 ,得 出 AH 包头 中 的 验证 数据 ,并 将 AH 
包头 加 入 数据 包 中 ; 当 数 据 传输 到 接收 方 时 ,接收 方 将 收 到 的 IP 包头 、 数 据 、 公 共 密 钥 以 相 
同 的 散 列 算法 进行 运算 ,并 把 得 出 的 结果 同 收 到 数据 包 中 的 AH 包头 进行 比较 ;如 果 结 果 
相同 则 表明 数据 在 传输 过 程 中 没有 被 修改 ,并 且 是 从 真正 的 信息 源 处 发 出 的 。 
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信息 源 可 靠 性 可 以 通过 公共 密 钥 来 保证 。 常 用 的 散 列 算法 有 HMAC、MD5 和 SHA。 
这 些 算法 有 一 些 共同 的 特点 : 不 可 能 从 计算 结果 推导 出 它 的 原始 输入 数据 ,不 可 能 从 给 定 
的 一 组 数据 和 它 经 过 散 列 算法 计算 出 的 结果 推导 出 另外 一 组 数据 产生 的 结果 。 

AH 由 于 没有 对 用 户 数据 进行 加 密 。 如 果 黑 客 使 用 协议 分 析 照 样 可 以 窃取 在 网 络 中 传 
输 的 敏感 信息 ,所 以 我 们 使 用 有 效 负载 安全 封装 (ESP) 协 议 把 需要 保护 的 用 户 数 据 进行 加 
密 , 并 放 到 IP 包 中 ,ESP 提供 数据 的 完整 性 ,可靠 性 。ESP 协议 非常 灵活 ,可 以 选择 多 种 加 
密 算法 包括 DES, Triple DES, RC5, RC4,IDEA 和 Blowfish, 

IPSec 有 两 种 工作 方式 : 隧道 模式 和 传输 模式 。 在 隧道 模式 中 ,整个 用 户 的 IP 数据 包 
被 用 来 计算 ESP 包头 ,整个 IP 包 被 加 密 并 和 ESP 包头 一 起 被 封装 在 一 个 新 的 IP 包 内 。 这 
样 当 数据 在 Internet 上 传送 时 ,真正 的 源 地 址 和 目的 地 址 被 隐藏 起 来 。 在 传输 模式 中 ,只 有 
高 层 协议 (TCP `\UDP ICMP 等 ) 及 数据 进行 加 密 。 在 这 种 模式 下 , 源 地 址 、 目 的 地 址 以 及 所 
有 IP 包头 的 内 容 都 不 加 密 。 

以 下 是 在 隧道 模式 下 的 AH 协议 的 数据 包 ( 见 图 4-8) 和 ESP 协议 数据 包 的 封装 格式 
( 见 图 4-9). 


F K 4| TCP/UDP | ”应 用 程序 
新 IP 报 头 Ant ro 报头 数据 


— 完整 性 检查 部 分 (签名 ) 
图 4-8 AH 隧道 模式 


新 IP | ESP | 原 IP | TCP/UDP 
报头 | 报头 | 报头 | 报头 


应 用 程序 | ESP ESP 
数据 | 报 尾 | 认证 报 尾 


[加 密 部 分 
SEWER ERE CE) 
图 4-9 ESP 隧道 模式 


在 隧道 模式 下 ,整个 原 数据 包 被 当 作 有 效 载荷 封装 起 来 ,再 加 上 新 的 卫 包 头 。 新 IP 包 
头 中 的 源 目 的 TP 地 址 常常 是 做 中 间 处 理 的 网 关 地 址 ,在 Internet. 上 传送 ,真正 的 源 地 址 和 
目的 地 址 就 被 隐藏 起 来 了 。 

5. SSL VPN 

SSL Secure Socket Layer) VPN ,第 四 层 隧道 协议 的 VPN, 它 通过 在 传输 层 和 应 用 层 之 
间 添 加 一 个 安全 的 套 接 层 来 实现 .该 套 接 层 提供 保密 性 、 消 息 完整 性 和 端点 认证 ;并 利用 代 
理 \ 反 向 代理 、 包 过 滤 / 转 向 或 者 虚拟 网 卡 等 技术 提供 隧道 创建 ,传输 和 终止 。SSL VPN 根 
据 其 对 客户 端的 需求 可 以 分 为 两 大 类 : 无 客户 端 模式 (clientless mode) 和 客户 端 模式 
(client mode) 。 无 客户 端 模式 利用 浏览 器 自身 的 SSL 特性 ,将 用 户 接 入 VPN, 以 插件 的 形 
式 动态 提供 访问 工具 或 者 虚拟 服务 给 用 户 , 以 便 用 户 访问 VPN 内 部 的 服务 群 。 而 在 客户 
端 模式 下 ,SSL 通常 以 应 用 程序 的 方式 为 用 户 提供 访问 。 


4.3.2 加 密 技 术 
为 了 防止 非法 用 户 监 听 和 算 改 数据 ,在 通信 和 领域 ,加 密 技术 被 广泛 的 利用 。VPN 技术 
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实现 的 前 提 就 是 提供 安全 的 专用 网 服务 ,所 以 加 密 技术 是 各 种 组 建 VPN 隧道 技术 的 一 个 
基本 的 要 求 。 而 各 种 VPN 组 建 方案 加 密 技术 的 不 同 之 处 就 是 选用 了 不 同 的 加 密 算法 和 不 
同 的 密 钥 强度 。 

PPTP 隧道 协议 使 用 64 位 或 128 位 RC4 的 加 密 算法 。RC4 是 一 种 伪 随 机 流 算法 , 通 
过 输入 密 钥 产生 一 个 与 数字 流 位 数 相等 的 密 钥 流 ,实行 一 位 对 一 位 的 异 或 加 密 , 其 解密 过 程 
就 是 加 密 的 逆 过 程 。 

L2TP 可 以 使 用 IPSec 对 数据 进行 加 密 ,弥补 了 L2TP 安全 性 不 足 的 问题 。 

IPSec 使 用 的 加 密 技术 有 DES, 3DES, AES, IDEA, 3XDE 和 摘要 算法 、 密 钥 交换 算法 
等 , 它 通过 强大 IKE 管理 密 钥 ,并 对 通信 中 使 用 何 种 加 密 技 术 进 行 协 商 。 使 用 Diffie- 
Hellman 算法 进行 密 钥 协商 。 发 送 方 不 是 产生 一 个 密 钥 并 针对 接收 方 进 行 加 密 , 而 是 由 发 
送 方 和 接收 方 共同 协同 通过 密 钥 生 成 材料 产生 一 个 对 它们 来 说 是 私有 的 密 钥 。 摘 要 算法 的 
本 质 是 利用 单 向 的 , 求 逆 运 算 几 乎 不 能 的 散 列 函 数 实现 唯一 明文 确定 唯一 密 文 ,从 密 文 无 法 
推出 明文 。 目 前 使 用 广泛 的 散 列 函数 是 MD5,SHA-1,SHA-2, 

在 任何 VPN 加 密 体系 结构 中 , 密 钥 产生 和 管理 的 安全 是 一 个 非常 重要 的 问题 。 密 钥 
的 交换 越 频繁 ,加 密 的 数据 越 安全 ,而 且 只 有 采用 真正 的 随机 数 作为 密 钥 才能 确保 最 高 级 别 
的 安全 。 因 此 采用 硬件 产生 密 钥 才能 确保 VPN 最 高 级 别 的 安全 。 


4.3.3 访问 控制 技术 


访问 控制 允许 对 限定 资源 的 授权 访问 。 它 也 可 以 保护 资源 ,防止 那些 无 权 访问 资源 的 
用 户 的 恶意 访问 或 偶然 访问 。 

VPN 中 的 访问 控制 指出 VPN 用 户 是 否 可 以 访问 被 保护 的 网 络 资源 。 没 有 访问 控制 的 
VPN 只 能 保护 加 密 后 进行 传输 的 数据 ,而 不 能 保护 网 路 资源 。 严 格 的 访问 控制 可 以 保护 网 
络 资源 不 被 非法 地 使 用 ,同时 还 可 以 允许 被 授权 的 用 户 的 访问 。 

并 不 是 直接 把 访问 控制 机 制 安装 在 网 络 资源 自身 上 的 ,VPN 设计 者 通常 通过 把 访问 控 
制 机 制 放置 在 一 个 或 更 多 的 网 关上 来 实现 VPN 中 的 访问 控制 。 在 为 用 户 和 资源 创建 安全 
隧道 之 前 要 与 访问 控制 策略 进行 协商 。 很 多 时 候 , 创 建 完 隧道 后 , 仍 要 不 断 地 询问 访问 控制 
策略 ,并 把 策略 应 用 于 隧道 中 的 每 一 个 报 文 。 防 火 墙 访问 控制 策略 是 自 包含 的 ,这 样 就 可 以 
保证 防火 墙 的 操作 不 会 依赖 于 其 他 任何 防火 墙 。 相反,VPN 网 关 的 操作 是 不 能 孤立 于 其 他 
VPN 设备 的 。VPN 网 关 要 么 和 另 一 个 VPN 网 关 , 要 么 和 相应 的 VPN 客户 协同 工作 ,才能 
完成 可 靠 的 通信 。 可 以 以 分 布 或 集中 的 方式 管理 VPN 的 访问 控制 策略 。 

一 个 VPN 网 关 必 须要 有 两 个 独立 的 访问 控制 策略 :入 站 (inbound) 访 问 控制 策略 和 出 
站 (outbound) 访 问 控制 策略 。 入 站 访问 控制 策略 应 用 于 入 站 传输 ,出 站 访问 控制 策略 应 用 
于 出 站 传输 。 当 两 个 网 关 协 同 工 作 创建 它们 之 间 的 安全 隧道 时 ,一 个 网 关 的 出 站 策略 必须 
和 另 一 个 网 关 的 和 人 站 策略 直接 相关 。 下 面 给 出 一 个 例子 。 

假设 在 VPN 网 关 A 后 面 的 子 网 10. 0.0. 0/24 和 VPN 网 关 B 后 面 的 子 网 192. 168. 1. 0/ 
24 之 间 创 建 了 一 个 安全 隧道 ,如 图 4-10 所 示 。 网 关 B 的 和 站 策略 中 有 一 项 的 声明 如 下 : 


If[IP source address- 10.0.0.0/24 } 
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and (IP destionation address- 192.168.1. 0/24} 
then apply IPsec 


10.0.0.0/24 192.168.1.0/24 


这 个 规则 只 接受 来 自 网 关 A 后 面 的 子 网 并 且 目 的 地 为 网 关 B 后面 的 子 网 的 传输 。 为 
了 保护 网 关 B 后 面 的 子 网 ,这 个 规则 是 绝对 需要 存在 的 。 而且, 在 网 关 A 还 要 有 一 条 出 站 
规则 : 

If{IP source address= 10.0.0.0/24 } 

and (IP destionation address- 192.168.1.0/24} 

then apply IPsec 

由 于 网 关 A 的 这 条 出 站 规则 和 网 关 B 的 那 条 入 站 规则 完全 一 样 ,所 以 看 上 去 有 点 多 
余 。 然 而 ,如果 没有 这 条 出 站 规则 , 网关 A 将 不 知道 如 何 处 理 从 10. 0. 0. 0/24 发 往 
192. 168. 1. 0/24 的 报 文 .此 外 ,出 站 规则 还 可 以 在 报 文 进入 隧道 之 前 就 拒绝 一 定 的 传 
输 一 一 即 那 些 无 论 如 何 也 不 能 穿 过 网 关 B 的 传输 。 这 样 就 可 以 节省 带宽 ,更 重要 的 是 ,可 
以 省 去 两 个 网 关中 的 加 密 一 解密 处 理 过 程 。 

VPN 中 的 访问 控制 被 应 用 于 正在 经 过 VPN 隧道 的 I 传输。 访问 控制 的 参数 除 
了 上 述 的 报 文 的 IP 外, 报 文 高 层 协议 头 中 的 所 有 值 都 被 作为 访问 控制 的 参数 。 这 些 值 
包括 : 源 IP 地 址 和 目的 IP 地 址 、 源 端口 和 目的 端口 .协议 号 以 及 其 他 任何 可 以 访问 的 
头 信 息 。 

由 于 VPN 网 络 应 用 环境 的 多 样 性 和 广泛 性 ,必须 采用 具有 策略 无 关 性 、 能 够 根据 不 同 
控制 需求 构造 强制 访问 控制 和 自主 访问 控制 。 基 于 网 络 安全 拓扑 的 研究 ,一 个 高 安全 性 的 
VPN 网 络 环境 必须 由 用 户 终端 防火墙.IDS.VPN 网 关 和 内 部 的 应 用 服务 协同 工作 ,构成 
多 层 的 安全 防护 。 


4.4 无 线 网 络 安全 技术 


随 着 笔记 本 计算 机 和 信息 技术 的 高 速 发 展 ,产生 了 何 时 、 何 地 都 能 接 入 网 络 进行 如 数 
字 、 语 言 . 图 像 、 视 频 的 通信 的 要 求 ,无 线 网 络 正 是 为 了 满足 这 种 需求 而 产生 。 无 线 网 络 , 正 
如 其 名 ,不 像 有 线 网 络 ,需要 铺设 物理 线路 , 它 通 过 无 线 信号 在 空气 中 传播 。 按 理论 上 说 ,无 
线 电波 范围 内 的 任何 一 台 计算 机 都 可 以 监听 并 登录 无 线 网 络 。 如 果 内 部 网 络 安全 措施 不 够 
严密 , 则 完全 有 可 能 被 窃听 。 所 以 为 了 保证 无 线 网 络 的 安全 性 通信 需求 ,无线 网 络 技术 也 不 
Wi st E d RE. 


4.4.1 隐藏 SSID 


VPN 网 关 A VPN 网 关 B 


入 站 策略 出 站 策略 
图 4-10. VPN 访问 控制 规则 实例 


SSID(Service Set Identifier, 服 务 集体 标识 符 ) 最 多 可 以 有 32 个 字符 ,这 些 字符 可 以 是 
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数字 .字母 和 符号 ,并且 字 母 是 区 分 大 小 写 的 , 它 是 一 个 局 域 网 的 标识 。 在 每 一 个 无 线路 由 
器 和 AP 中 ,都 有 一 个 服务 认证 ID , 它 为 无 线 局 域 网 提供 了 最 低 的 安全 保证 。 如 果 一 个 用 
户 想 要 接 入 一 个 局 域 网 ,他 必须 首先 知道 该 局 域 网 的 SSID ,然后 再 将 自己 网 卡 的 SSID 设置 
成 和 无 线路 由 器 或 AP 相同 的 值 ; 否 则 .他 将 无 法 通过 该 局 域 网 的 认证 , 即 只 有 设置 了 相同 
SSID 值 的 设备 之 间 才 能 通信 。 

无 线路 由 器 和 AP 在 出 产 时 .它们 的 SSID 就 被 厂商 赋予 了 一 个 初始 值 。 大 多 数 厂商 用 
any 字符 串 作 为 初始 值 ,一些 厂 商 相 同型 号 设备 的 SSID 是 相同 的 ,这 些 简单 的 字符 都 很 容 
易 被 黑客 猜 出 来 ,现在 使 用 字典 攻击 方式 ,一 个 简单 的 字符 ,可 能 只 需要 几 秒 钟 就 会 被 攻破 
甚至 更 少 ,所 以 在 使 用 无 线路 由 器 和 AP 之 前 ,一 定 要 取消 默认 值 ,设置 一 个 较 长 的 .由 多 种 
符号 组 成 的 复杂 的 字符 串 作为 SSID, 

在 默认 情况 下 ,无 线路 由 器 和 AP 都 对 SSID 进行 广播 ,在 一 定 的 范围 内 ,计算 机 通过 
Windows 自 带 的 扫描 功能 就 能 接受 到 无 线路 由 器 或 AP 发 送 发 送 的 广播 报 文 。 由 此 ,计算 
机 就 知道 了 该 局 域 网 的 SSID, 这 给 无 线 网 络 带 来 了 很 大 的 安全 隐患 ,很 容易 受到 黑客 的 攻 
击 。 例 如 ,在 一 栋 楼 中 ,有 一 个 用 户 通过 无 线 局 域 网 接 人 网 络 ,而 没有 隐藏 SSID, 即 没有 关 
闭 AP 的 广播 功能 ,他 的 邻居 很 可 能 接受 到 广播 报 文 ,通过 分 析 知 道 了 该 AP 的 SSID ,他 将 
自己 网 卡 上 的 SSID 设置 成 该 局 域 网 SSID 的 值 ,就 可 以 接 入 网 络 了 ,这 样 他 就 实现 了 免费 
上 网 。 

在 AP 或 无 线路 由 器 上 ,将 “允许 SSID 广播 "前 的 勾 取消 ,这 样 可 以 防止 其 他 用 户 找到 
这 个 无 线 网 络 ,而 知道 SSID 的 用 户 则 可 以 正常 连接 到 网 络 。 在 非 公共 场所 中 ,隐藏 SSID, 
是 一 个 无 线 局 域 网 的 最 低 安 全 保证 ,也 是 用 户 接 入 网 络 的 第 一 道 关卡 。 然 而 ,即便 设置 了 一 
个 复杂 的 SSID 和 隐藏 SSID ,也 不 能 认为 无 线 网 络 就 安全 了 。 在 有 线 网 络 中 ,都 没有 一 个 真 
正安 全 的 网 络 ,更 不 要 说 开放 的 无 线 网 络 了 。 使 用 一 些 扫 描 工 具 , 如 : netstumbler, DD- 
WRT 就 可 以 破解 SSID。 要 构造 一 个 安全 性 高 的 无 线 网 络 必须 使 用 多 种 安全 技术 进行 
组 合 。 


4.4.2 MAC 地址 过 滤 


MAC 地 址 过 滤 ,就 是 指 在 无 线 局 域 网 边界 设备 中 ,如 无 线路 由 器 和 AP, 设 置 一 个 
“MAC 控制 信息 表 ”, 标 明 哪 些 MAC 地 址 是 可 以 接 和 人 该 无 线 网 络 的 。 无 线路 由 器 或 AP 对 
每 个 接收 到 的 数据 包 ,都 检查 其 MAC 地 址 , 若 此 MAC 地 址 在 “MAC 控制 信息 表 ” 中 能 够 
找到 匹配 项 , 则 允许 访问 ,否则 丢弃 该 包 。 

一 个 用 户 以 此 方式 访问 一 个 无 线 局 域 网 ,他 必须 首先 在 无 线路 由 器 或 AP 中 注册 自己 
的 MAC 地址。MAC 地 址 过 滤 防 止 非 授 权 用 户 对 无 线 网 络 的 访问 。 

MAC 地 址 过 滤 的 缺点 : 

d) 配置 麻烦 。 对 于 每 一 个 要 接 人 该 网 络 的 合法 用 户 ,都 必须 首先 注册 才能 接 和 人 网 络 。 

(2) 当 一 个 用 户 换 了 一 块 网 卡 后 .无 线路 由 器 或 AP 需要 重新 设置 *<MAC 地 址 信 
AR”. 

MAC 地 址 过 滤 的 安全 隐患 : 

(D MAC 地 址 以 明文 方式 传送 ,攻击 者 很 容易 就 能 捕获 到 一 个 合法 的 MAC 地 址 。 

CD 大 多 数 网 卡 都 支持 软件 方式 写 人 MAC 地 址 ,如 果 一 个 黑客 破解 了 一 个 合法 用 户 
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的 MAC, 他 可 以 通过 方式 将 合法 的 MAC 地 址 写 和 自己 的 网 卡 中 ,该 网 卡 就 可 以 冒充 合法 
的 用 户 , 因 此 就 能 够 通过 访问 控制 的 检查 而 获取 访问 受 保护 网 络 的 权限 。 

在 Windows 系统 下 可 以 使 用 OmniPeek, Wireshark, Ethereal, Aircrack-ng for 
Windows 等 工具 实现 对 客户 端 MAC 的 拦截 ,在 Linux 系统 下 可 用 Kismet、Aircrack-ng 中 
的 airodump-ng 等 来 实现 。 需 要 注意 的 是 , 若 目标 网 络 采用 WEP 或 者 WPA 加 密 的 话 , 有 
时 需 先 行 破解 再 对 数据 包 解 密 方 可 看 到 客户 端 MAC, 


4.4.3 WEP 加 密 


在 无 线 客户 端 接 人 无 线 网 络 中 之 前 , 它 需 要 首先 与 无 线 接 人 点 进行 一 次 通话 。 无 线 接 
和 点 根据 客户 端 发 送 的 请 求 信息 确定 客户 端的 合法 性 。IEEE 802. 11b 标准 规定 ,在 第 一 次 
无 线 客户 端 请 求 通信 中 , 接 和 人 点 就 对 其 进行 认证 ,在 认证 成 功 之 前 ,设备 不 能 进行 正常 的 业 
务 通信 。 这 种 认证 方式 有 两 种 : 开放 式 认证 和 共享 密 钥 认证 。 开 放 式 认证 就 是 以 上 所 说 的 
两 种 认证 方式 再 加 上 人 允许 任何 用 户 接 入 的 无 认证 方式 。 而 共享 式 认证 方式 就 是 基于 WEP 
共享 密 钥 的 ,前 提 是 无 线 客户 端 和 无 线 接 入 点 在 事先 已 经 配置 了 相同 的 共享 密 钥 ,共享 密 钥 
认证 和 开放 式 认证 方式 相似 ,不 同 的 是 它 使 用 WEP 对 传输 的 数据 进行 加 密 , 提 供 了 比 开放 
性 更 高 的 安全 性 。 

1. WEP 加 密 技术 介绍 

在 无 线 网 络 之 中 ,使 用 无 线 电波 进行 数据 的 传输 ,在 无 线 网 络 信 号 可 以 传播 的 预期 范围 
内 ,信号 也 可 能 传播 到 无 线 信 号 预期 的 范围 之 外 .在 整个 能 够 接受 信号 的 区 域 .都 成 为 了 一 
个 WLAN 的 接 入 点 ,如 果 不 使 用 加 密 技术 对 通信 中 的 数据 进行 加 密 , 网 络 中 的 数据 将 完全 
暴露 在 人 侵 者 的 眼下 。WEP 在 无 线 网 络 发 展 初期 ,是 一 种 常用 的 加 密 技术 。 

WEP( Wired Equivalent Privacy, 有 线 等 效 保密 ) 技 术 有 两 种 编码 长 度 : 64 位 或 128 
位 。 其 中 包含 一 个 24 位 的 初始 向 量 (Initialization Vector, IV) 和 一 个 40 位 或 104 位 的 
WEP 键 值 (key) 构 成 了 加 密 的 密 钥 。WEP 键 值 被 描述 为 一 个 字 或 位 串 , 它 用 来 给 整个 网 络 
作 认 证 , 即 无 线 网 络 中 的 共享 密 钥 。 通 常情 况 下 ,一 个 无 线 局 域 网 都 使 用 相同 的 WEP 键 
值 ,而 IV 值 是 动态 生成 的 ,避免 了 数据 包 总 是 使 用 同样 WEP 键 值 “随机 ”产生 相同 的 RC4 
密 钥 流 。 常见 的 40 位 编码 模式 ,其 实 相当 于 64 位 的 编码 模式 。 这 种 编码 模式 下 ,没有 考虑 
到 密 钥 的 管理 问题 , 它 只 要 求 无 线 网 卡 与 无 线 访 问 点 必须 使 用 相同 的 运算 法 则 。 

使 用 WEP 加 密 技 术 ,数据 包 在 送出 使 用 RC4 算法 加 密 之 前 ,会 进行 一 个 完整 性 校 验 
(Integrity Check, IC) ,并 产生 一 个 校 验 码 CRC ,作为 数据 的 校 验 位 ,填充 在 数据 字段 之 后 ， 
其 作用 是 以 便 接 收 端 对 数据 进行 检查 数据 是 否 在 传输 过 程 中 出 错 。 

2. RC4 加 密 算法 

RCA 伪 随 机 流 加 密 算法 ,将 对 数据 及 其 校 验 位 进行 加 密 。RC4 算法 根据 IV 和 WEP 键 
值 产 生 一 个 密 钥 流 ,再 用 该 密 钥 流 对 数据 和 验证 码 做 异 或 运算 。 该 密 钥 流 的 长 度 和 要 加 密 
数据 的 明文 长 度 相同 , 称 为 流 加 密 算法 。 

3. WEP 的 加 解密 过 程 

(1) 根据 明文 生成 CRC 校 验 码 。 

(2) 将 24 位 的 初始 化 向 量 IV 和 40 位 的 WEP Key 值 组 成 64 位 密 钥 , 输 入 RC4 虚拟 
随机 数 产 生 器 之 中 ,RC4 根据 该 64 位 密 钥 生成 与 明文 和 校 验 码 总 长 度 相 同 的 密 钥 流 。 
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(3) 密 钥 流 和 明文 数据 .检验 码 进行 按 位 异 或 运算 .得 到 加 密 后 的 消息 , 即 密 文 。 
(4) 将 初始 化 向 量 IV 和 密 文 串 连接 起 来 ,就 得 到 了 要 传输 的 数据 帧 。 
加 密 后 的 数据 帧 格式 如 图 4-11 所 示 。 


802.11 Header| — IV Field DATA ICV 
4B 4B >=1B 4B 
N bs ax 
X 、、 WERD 
Rd M 
S 
IV Field 
Iv | KeyID 
3B IB 


图 4-11 加 密 后 的 数据 帧 格式 


在 接收 端 ,解密 数据 的 过 程 就 是 加 密 的 逆 过 程 ,步骤 如 下 : 

CD 恢复 初始 明文 。 接 收 端 接受 到 数据 ,根据 IV 和 自己 存储 的 WEP 值 计算 密 钥 流 ,对 
密 文 进行 异 或 操作 ,还原 明 文 。 

(2) 检查 检验 和 。 接 收 端 从 恢复 的 初始 明文 中 分 离 出 数据 部 分 和 检验 码 部 分 ,并 重新 
根据 数据 计算 校 验 码 ,以 检查 它 是 否 与 接受 到 的 检验 码 相 同 。 若 相同 则 接收 端 接受 此 消息 ， 
若 不 相同 则 丢弃 该 数据 包 。 

WEP 最 初 采用 40 位 WEP 键 值 的 RC4 加 密 算法 ,并 且 接 入 点 和 无 线 客户 端 都 使 用 相 
同 的 密 钥 ,很 容易 被 入 侵 者 破解 ,尽管 现在 大 多 数 的 厂商 支持 128 位 和 256 位 的 密 钥 值 ,但 
由 于 WEP 本 质 上 的 不 安全 性 ,同样 很 容易 被 破解 。 

4. WEP 的 安全 性 问题 

(1) RC4 算法 存在 弱 密 钥 。 在 RC4 算法 中 , 据 专家 统计 ,24 位 的 IV 就 存在 9000 多 个 
弱 密 钥 。 所 谓 弱 密 钥 ,是 指 密 钥 和 输出 之 间 存 在 着 所 不 应 具有 的 相关 性 。 当 攻击 者 收集 到 
足够 多 使 用 弱 密 钥 的 包 后 ,就 可 以 对 它 进 行 分 析 , 只 需 尝 试 很 少 的 密 钥 就 可 以 接 和 网络 中 
了 ,利用 Aiesnort, WEPCrack 等 破解 工具 ,可 以 很 容易 地 破解 WEP 密 钥 。 

(2) IV 的 不 安全 性 。 初 始 向 量 IV 以 明文 方式 在 空中 传送 , 它 位 于 报 文 的 头 部 ,很 容易 
被 窃听 者 捕获 。 且 IV 只 有 24 位 , 它 只 有 16 777 216 种 可 能 值 ,对 于 包 大 小 为 1500B, 平 均 
带宽 为 10Mbps 的 AP 来 说 ,只 要 大 约 5 个 小 时 就 会 耗 尽 2* 个 IV, 即 在 两 个 站 点 间 传 输 约 
5000 个 数据 包 , 就 会 出 现 相 同 的 密 钥 流 。 所 以 在 一 个 繁忙 的 网 络 中 ,在 短 时 间 内 ,就 可 能 出 
现 相同 的 IV 值 ,就 会 造成 RC4 产生 相同 的 密 钥 流 。WEP 采用 密 钥 流 加 密 , 针 对 两 次 加 密 ， 
如 果 IV 没有 改变 ,那么 两 端 密 文 异 或 的 结果 和 它们 的 明文 异 或 的 结果 是 完全 相同 的 。 在 
同样 的 密 钥 流下 ,已 知 一 个 消息 的 明文 ,加 上 收 到 该 消息 的 密 文 就 可 以 立刻 得 出 另 一 个 密 文 
的 明文 了 。 

(3) CRC 检验 算法 的 不 合法 性 。CRC 校 验 码 与 原 数 据 存在 某 种 线性 关系 。 在 WEP 
中 ,没有 提供 加 密 的 完整 性 验证 ,而 是 使 用 没有 加 密 保护 的 CRC 来 验证 数据 是 否 被 更 改 。 
黑客 只 要 将 密 文 和 CRC 编码 一 起 改动 ,接收 方 将 无 法 判断 数据 是 否 被 更 改 。 

(4) 缺少 密 钥 管理 。 在 一 个 局 域 网 中 ,使 用 相同 的 WEP 键 值 ,身份 认证 和 加 密使 用 相 
同 的 密 钥 。 假 如 一 个 用 户 的 WEP 键 值 遭 到 黑客 的 窃取 ,将 危机 到 整个 网 络 。 要 更 新 一 个 
键 值 ,需要 花费 很 高 的 代价 ,长 时 间 使 用 一 个 静态 的 WEP KEY, 增 大 了 密 钥 被 破解 的 可 
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能 性 。 
由 于 WEP 存在 以 上 严重 的 缺陷 ,使 得 WLAN 的 推广 由 于 其 安全 性 问题 受到 严重 的 阻 
碍 。 为 了 解决 这 个 问题 ,WI-IF 制定 了 802. 11i 标准 。 


4.4.4 WPA 


1. WPA 简介 

WEP 存在 着 许多 的 安全 隐患 ,作为 对 无 线 网 络 安全 要 求 的 响应 , WI-IF 联盟 开始 研发 
新 一 代 的 安全 标准 802. 11i。802. 11i 从 开始 开发 到 2004 年 秋季 才 开 始 正 式 使 用 。 由 于 
802. 11i 审定 通过 的 时 间 太 长 ,又 不 能 忽视 市 场 上 对 WLAN 安全 的 需求 ,因此 WHF 联盟 
的 802. 11i 尚 在 草案 阶段 ,就 根据 802. 11i 草案 制定 以 其 子 集 为 安全 标准 的 WPA ,以 供 该 阶 
段 WLAN 市 场 上 的 需求 , 它 是 原 有 WEP 标准 和 后 来 的 802. 11i 标准 的 混合 体 。 

WPACWi-Fi Protected Access) ,与 WEP 相 比 ,WPA 主要 增加 了 802. IX, EAP, TKIP 
(Temporal Key Integrity Protocol ,临时 密 钥 完 整 性 协议 )`MIC 这 几 部 分 。802. 1x 和 EAP 
负责 接 和 人 认证 ,使 用 的 认证 服务 器 是 RADIUS 服务 器 ,TKIP 负责 加 密 和 密 钥 管理 , MIC 是 
64 位 的 数据 完整 性 校 验 码 ,由 Michael 算法 生成 。 

802. 1x 全 称 是 802. 1 X Port-Based Network Access Control ,是 基于 端口 的 访问 控制 
接 入 管理 协议 标准 。 在 802. 1x 协议 中 ,以 太 网 的 每 个 物理 端口 都 被 分 为 受 控 端 口 和 非 受 控 
端口 。 在 802. 1x 认证 过 程 中 ,认证 服务 器 .客户 端 .认证 系统 是 三 个 必 不 可 少 的 部 分 。 当 一 
个 客户 终端 要 连接 到 接 入 点 时 ,首先 必须 通过 非 受 控 端 口 向 认证 系统 发 送 认 证 信息 ,认证 系 
统 接 受到 认证 信息 后 ,将 它 传送 给 认证 服务 器 。 只 有 认证 成 功 ,客户 端 受 控 端口 才 会 处 于 授 
权 状 态 ,用 户 才 能 自由 访问 网 络 资源 ,否则 端口 处 于 非 授权 状态 ,认证 系统 拒绝 向 该 用 户 提 
供 服务 。 

EAP(Extensible Authentication Protocol, 可 扩展 的 认证 头 协议 ) 是 802. 1x 协议 的 基 
础 ,802. 1x 的 验证 信息 在 EAP 扩展 头 中 传输 。 根 据 不同 的 安全 需求 , 它 可 以 提供 多 种 形式 
的 安全 认证 。 例 如 MD5-Challenge、TLS 等 。 无 线 网 络 客户 端的 验证 数据 通过 EAPOL 
(EAP OverLan) 协 议 传输 到 AAA 服务 器 中 进行 认证 。 而 认证 服务 器 与 无 线 接 人 点 间 则 采 
用 RADUS 协议 来 传输 认证 数据 。 

WPA 与 WEP 一样 ,使 用 RC4 加 密 算法 对 数据 进行 加 密 , 与 WEP 不 同 的 是 , WPA 增 
加 了 一 个 密 钥 管理 TKIP, 使 用 128 位 密 钥 长 度 ,初始 化 向 量 IV 的 长 度 由 WEP 的 24 位 增 
加 到 48 位 。TKIP 对 密 钥 进行 管理 ,无线 客户 端 每 次 与 AP 进行 连接 ,都 将 重新 生成 一 个 新 
的 基本 密 钥 组 ,每 发 送 一 个 数据 包 都 重新 生成 一 个 新 的 密 钥 。 这 些 主 密 钥 由 客户 端 在 连接 
到 WPA 无 线 网 络 之 前 提供 , 称 为 PSK(Pre-Shared Key) 预 共享 密 铀 。WAP 使 用 TKIP H 
动 重新 生成 密 钥 以 派生 出 新 的 临时 密 钥 组 和 通过 加 长 IV, 并 将 IV 用 作 帧 计算 器 以 提供 重 
放 保护 ,使 得 密 钥 很 难 被 破解 ,增强 了 数据 在 无 线 网 络 中 传输 的 安全 性 。 另 外 , WPA 在 
WEP 的 基础 上 ,增加 了 网 络 数据 的 完整 性 检查 , 即 Michael 算法 , 它 可 以 计算 64 位 完整 性 
代码 (MIC) 值 ,接收 端 通过 MIC 能 够 检测 数据 在 传输 过 程 中 是 否 出 错 或 更 改 , 有 效 地 防止 
了 入 侵 者 基于 数据 自 改 的 攻击 。 

2. TKIP 加 密 机 制 

在 WEP 中 ,用 户 端 与 接 人 点 之 间 的 单 播 数据 都 使 用 同一 个 WEP KEY 键 值 加 上 24 位 
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的 随机 生成 数 进 行 加 密 ,而 多 播 和 广播 数据 通常 使 用 另外 一 个 不 同 的 WEP KEY 键 值 。 
TKIP 则 是 对 每 个 无 线 客户 端 与 无 线 AP 对 都 有 四 个 不 同 的 密 钥 ,它们 构成 一 个 密 钥 组 。 
对 多 播 和 广播 数据 使 用 另 两 个 不 同 的 密 钥 构成 一 个 密 钥 组 。 

在 一 次 单 播 的 TKIP 加 密 中 , 共 需 要 四 个 密 钥 。 

(1) 用 于 加 密 数据 的 128 位 密 钥 (TK)。 

(2) 用 于 计算 单 播 数据 的 MIC 值 的 128 位 密 钥 。 

G) 用 于 加 密 EAPPLO-KEY 消息 的 128 位 密 钥 (KEK) 。 

OD 用 于 计算 EAPPLO-KEY 数据 包 的 MIC 值 的 128 位 密 钥 (KCK)。 

为 了 生成 以 上 四 个 密 钥 ,TKIP 需要 客户 端 和 认证 服务 器 对 主 密 钥 (PMK) 进 行 协商 。 
协商 完成 后 认证 服务 器 通过 RADIUS Access-Accept 消息 将 PMK 传输 给 AP. AP 启动 临 
时 密 钥 消息 交换 ,这 时 客户 端 和 AP 相互 验证 双方 是 否 知道 主 密 钥 PMK ,客户 端 和 接 入 点 
再 经 过 协商 通过 主 密 钥 PMK 派生 出 512 位 的 PTK (Pairwise Transinent Key) ,并 将 该 
PTK 分 解 成 不 同 用 途 的 密 钥 。 如 以 上 的 四 种 单 播 密 钥 和 组 密 钥 。 

客户 端 与 无 线 接 人 点 验证 PMK 的 四 次 握手 过 程 图 如 图 4-12 所 示 。 


SS 802.1 ifi t 802.1x 认 证 者 


生成 随机 数 Snonce 生成 随机 数 Anonce 


MI(AA, Anonce, sn, msgl) 


利用 Snonce 和 Anonce 计 算 PTK 


M2(SPA, Snonce, sn msg2, MIC,;,(Snonce, sn, msg2)) 
一 


利用 Snonce 和 Snonce 计 算 PTK 
M3(AA, Anonce, sn+l, msg3, MIC,;,(Anonce, sn+l, msg3)) 


M4(SPA, sn+1, msg4, MIC, ;,(sn*l, msg2)) 
-— 


安装 密 钥 安装 密 钥 


图 4-12 客户 端 与 无 线 接 人 点 验证 PMK 的 四 次 握手 过 程 


图 中 的 SPA, AA 分 别 代 表 它 们 的 MAC 地 址 , Anonce 是 AP 产生 的 一 个 随机 数 。 
Snonce 是 申请 者 产生 的 一 个 随机 数 。 步 骤 如 下 : 

CD 认证 者 也 就 是 AP 接 和 点 生成 一 个 随机 数 ,将 此 随机 数 明文 传递 给 申请 者 ,也 就 是 
无 线 客户 端 。 

(2) 申请 者 也 产生 一 个 随机 数 Snonce, 并 利用 事先 共享 的 PMK 和 接收 到 的 AP 随 
机 产生 数 Anonce 计算 出 PTK。 并 用 PTK 中 计算 好 的 KCK 对 M2 进行 数据 完整 性 
认证 。 
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(3) AP 接收 到 M2 ,得 到 Snonce 后 利用 事先 知道 的 PMK 计算 出 PTK, 利 用 PTK 中 
的 KCK 部 分 对 M2 进行 MIC 校 验 。 如 果 校 验 失败 就 丢弃 M2 ,正确 则 向 申请 者 发 送 M3。 
M3 中 包含 一 个 MIC 校 验 , 使 申请 者 能 够 核实 认证 方 拥 有 一 个 匹配 的 PMK., 

(4) 申请 者 收 到 M3 并 验证 正确 后 即 装 入 PTK, 并 发 送 MA 给 认证 者 ,表示 已 装 入 
PTK。 认 证 者 在 收 到 MA 并 验证 争取 后 也 装 和 人 PTK。 至 此 四 次 握手 完成 ,PTK 产生 并 完 
成 装载 。TIKP 的 数据 帧 格式 如 图 4-13 所 示 。 


加 密 部 分 
IV/Key ID ExtendedIV |DATA(PDU| MIC | Icv FCS 
MAC Header 4B | 4B >=1B 8B | 4B 4B 


TSCI | WEPSeed| TSCO Revd Ext | Key | TSC2 | TSC3 | TSC4 | TSC5 
IB IB IB IV ID IB IB IB IB 


| Expanded IV16 -| 8bit IV32 _| 


图 4-13 TIKP 的 数据 帧 格式 


Ext IV 位 为 1 表示 TKIP 帧 ,为 0 表示 WEP 帧 。 从 WEP 和 TKIP 的 帧 格式 就 可 以 很 
清楚 地 看 到 TKIP 中 新 增 的 4B 的 扩展 TV 位 和 MIC 校 验 码 。MIC 码 对 源 地 址 、 目 的 地 址 、 
优先 级 别 和 明文 数据 即 MSDU 进行 校 验 。 

对 于 多 播 和 广播 密 钥 ,TIKP 中 ,无线 AP 会 派生 出 一 个 128 位 的 组 加 密 密 钥 和 一 个 
128 位 用 于 完整 性 校 验 的 计算 MIC 的 密 钥 ,使 用 EAP-Key 数据 包 将 信息 发 送 给 无 线 客 户 
端 ,无 线 客户 端 使 用 EAP-Key 消息 来 确认 收 到 该 EAP-Key 消息 。 

3. EAP 协议 

EAP 可 以 支持 多 种 认证 机 制 .如 智能 卡 、 一 次 性 口令 、 公 钥 、Kerberos 等 。 在 EAP 的 请 
求 应 答 包 中 规定 了 EAP 的 各 种 类 型 。 EAP 是 基于 PPP 点 到 点 协议 的 。 

4. WPA 存在 的 安全 问题 

尽管 WPA 在 WEP 上 增加 了 许多 标准 协议 和 策略 来 增强 网 络 的 安全 ,但 仍然 存在 许多 
潜在 的 安全 问题 。 在 WPA 中 ,由 于 仍然 要 求 客户 端 和 接 入 点 使 用 相同 的 配置 建立 连接 ， 
TIKP 仍然 是 以 RC4 为 加 密 算法 ,802. 1x 认证 协议 的 缺陷 等 ,使 得 WPA 并 不 是 一 个 安全 
性 很 高 的 安全 策略 。 例 如 ,WPA 存在 以 下 安全 问题 ， 

CD 会 话 劫持 。 会 话 劫持 就 是 指 切 断 正在 与 接 人 点 通信 的 客户 端 与 接 人 点 的 联系 , 自 
己 冒 充 该 用 户 用 接 入 点 进行 通信 ,实现 网 络 的 入侵 。 

(2) 中 间 人 攻击 。 中 间 人 攻击 是 指 攻击 者 对 AP 冒充 合法 的 客户 端 ,对 客户 端 冒 充 
AP, 获 取 整 个 网 络 中 的 通信 数据 。 

G) 密 钥 长 度 太 短 , 密 钥 为 明文 等 。 

现在 在 网 络 上 存在 多 种 WPA 破解 工具 ,通过 这 些 工 具 用 户 就 可 以 检测 短 的 明文 密 钥 
对 WPA 无 线 网 络 的 威胁 和 分 析 WPA 网 络 的 弱点 。 当 然 ,黑客 也 可 以 使 用 这 些 工 具 来 攻 
击 用 户 的 无 线 网 络 。 
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4.4.5 WPA2 


1. WPA2 简介 

尽管 WPA 提供 了 比 WEP 更 加 安全 的 标准 ,但 它 仍 然 是 很 不 安全 的 。TKIP 只 是 为 了 
兼容 以 前 的 WEP 而 设计 的 。 而 WPA2 是 WPA 的 增强 版 ,不 同 的 是 , 它 的 加 密 机 制 使 用 的 
不 是 TKIP, 而 是 CCMP。 因 为 CCMP 使 用 的 是 更 高 .更 安全 的 AES 算法 ,而 现 有 的 WEP 
设备 无 法 承担 AES 的 高 强度 的 计算 , 故 WI-FI 研发 TKIP 作为 WEP 向 802. 11i 过 渡 的 一 
种 技术 。 

2. CCMP 加 密 机 制 

CCMP (Counter mode with Ciper-block chaining Message Authentication code 
Protocol, 计 数 器 模式 和 密码 块 链 消 息 身份 验证 代码 协议 ) 以 高 级 加 密 算法 AES 为 核心 加 
密 算法 ,利用 128 位 密 钥 的 CCM 模式 ,提供 了 很 高 的 安全 性 ,并 且 AES 算法 具有 应 用 范围 
TO 等待 时 间 短 .相对 容易 隐藏 .吞吐 量 高 等 优点 ,目前 还 尚未 发 现 对 AES 完整 版 的 攻击 。 

CCMP 由 两 部 分 组 成 : Counter Mode(CTR) 和 CBC-MAC, Counter Mode(CTR) 加 密 
模式 ,用 于 保证 数据 的 机 密 性 , 它 可 以 用 AES 加 密 算法 对 明文 数据 和 MIC 两 部 分 进行 加 
密 。CBC-MAC 模式 ,用 于 计算 MIC 以 保证 数据 的 完整 性 和 报头 的 完整 性 , 它 是 目前 广泛 
使 用 的 数据 认证 模式 之 一 。CCMP 的 数据 帧 格式 如 图 4-14 所 示 。 


Encrypted 
一 - 
MAC Data(PDU) MIC FCS 
Header ; C CNE Tleader Societ >=] octets 8 octets 4 octets 
PNO || PNI || Rsva Rsvd | EXT |KEY| | pw2 | PN3 || PN4 | PNS 


bO b4 b5 b6 b7 
图 4-14 CCMP 数据 帧 格式 


MAC Header 是 原来 数据 包 的 MAC Header。 

CCMP Header 由 PN,Ext IV 和 Key ID 组成。 附加 在 DATA 后 的 MIC 是 通过 CBC- 
MAC 模式 计算 出 来 的 , 它 和 DATA, FCS 一 起 将 使 用 CTR 进行 加 密 。 虽 然 在 CCMP 协议 
中 ,使 用 同一 个 密 钥 进行 CTR 模式 加 密 和 CBC-MAC 模式 认证 ,在 通常 情况 下 ,使 用 同一 
个 密 钥 会 导致 安全 缺陷 ,但 CCMP 下 已 被 证 明 不 会 出 现 安全 缺陷 ,使 用 同一 密 钥 的 好 处 在 
于 可 以 简化 CCMP 的 设计 ,降低 对 密 钥 管 理 的 要 求 。 

3. WPA 向 WPA2 升级 

WPA 向 WPA2 升级 需要 以 下 几 个 步 又: 

(1) 下 载 和 安装 升级 的 客户 端 设备 驱动 。 由 于 WPA2 使 用 了 比 WPA 更 强 的 算法 ,所 
以 一 些 原 来 的 客户 端 适配器 可 能 不 支持 ,就 需要 安装 升级 版 的 客户 端 设 备 驱 动 。 

(2) 下 载 和 安装 升级 的 无 线路 由 器 和 接 人 点 固件 。 由 于 WPA2 使 用 了 比 WPA 更 强 的 
算法 ,所 以 一 些 原来 的 无 线路 由 器 和 接 人 点 固件 可 能 不 支持 ,就 需要 安装 升级 版 的 无 线路 由 
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器 和 接 人 点 固件 。 
4.4.6 IEEE 802. 11i 


IEEE 802. 11i 无 线 网 络 安全 标准 , 它 经 过 了 WPA 的 过 渡 ,于 北京 时 间 2004 4p 6 H 25 
日 ,在 IEEE 标准 委员 会 上 一 致 获得 通过 。 该 标准 主要 由 四 个 部 分 组 成 ,上 层 认证 机 制 
EAP,IEEE 802. 1x 基于 端口 的 控制 认证 .TKIP 和 CCMP。 其 中 EAP802. 1x 是 802.11i 的 
认证 方案 ,TKIP 采用 了 IEEE 802. 11 WEP 机 制 里 的 RC4 作为 核心 加 密 算法 。CCMP 机 
制 基于 AES 加 密 算法 和 CCM 加密 鉴别 算法 ,使 WLAN 的 安全 性 大 大 提高 ,是 实现 健壮 的 
安全 网 络 (Robust Security Network,RSN) 的 强制 性 要 求 。IEEE 802. 11i 定 义 了 两 种 网 络 
架构 : 过 渡 性 安全 网 络 (Transition Security Network. TSN) 和 健壮 的 安全 网 络 (Robust 
Security Network. RSN). 

在 TSN 中 ,网 络 中 可 以 兼容 WEP 加 密 方式 工作 的 设备 ,使 广泛 使 用 的 WEP 无 线 网 络 
可 以 向 IEEE 802. 11i 平稳 的 过 渡 , 也 可 以 说 这 种 网 络 是 使 用 WPA 技术 组 建 的 。 本 书 主要 
介绍 RSN。RSN 的 建立 过 程 如 下 : 

(1) 第 1 阶段 : 网 络 和 安全 能 力 的 发 现 

AP 定期 广播 自己 的 安全 性 能 ,并 对 无 线 客 户 端 的 接 入 请 求 进行 回复 。 一 个 无 线 客户 
端 既 可 以 通过 被 动 的 接受 AP 发 送 的 广播 信息 帧 ,也 可 以 通过 主动 的 发 送 请 求 信息 来 发 现 
可 用 的 AP. 

(2) 第 2 Br Et: AP 认证 客户 端 

客户 端 可 以 从 可 用 的 AP 中 选择 一 个 AP 进行 连接 ,向 AP 发 送 一 个 请 求 连接 数据 包 ， 
AP 根据 该 数据 包 对 用 户 进 行 身份 验证 。 这 个 阶段 只 是 基于 AP 对 客户 端的 单 向 认证 ,所 以 
IEEE 802. 11x 端口 还 处 于 关闭 状态 ,还 不 能 进行 数据 包 的 交换 。 若 验证 成 功 则 继续 下 一 阶 
段 的 认证 。 

(3) 第 3 [fr BE: EAP/IEEE 802. 1x/RADIUS 认证 

AP 对 客户 端 验证 成 功 后 ,客户 端 将 和 认证 服务 器 进行 双向 验证 ,如 使 用 EAP-TLS B 
议 进行 验证 ,这 时 AP 将 对 它们 之 间 的 数据 进行 透 传 。 此 阶段 认证 成 功 后 ,将 会 生成 主 密 钥 
(PMK)。 认 证 服务 器 将 会 把 生成 的 PMEK 传送 到 AP 中 。 

(4) 第 4 阶段 : 四 部 握手 协议 

客户 端 与 AP 通过 四 步 握手 协议 确定 对 方 PMK 的 存在 ,并 派生 出 成 对 的 传输 密 钥 。 
经 过 这 一 阶段 ,客户 端 和 接 人 点 协商 出 一 个 新 的 PTK IEEE 802. 1x 的 端口 处 于 授权 状态 ， 
客户 端 获得 了 网 络 服务 。 

(5) 第 5 阶段 : 组 密 钥 握 手 

当 存在 多 播 时 ,AP 会 生成 一 个 新 的 GTK ,并 将 它 发 送 到 每 一 个 客户 端 。 

(6) 第 6 阶段 : 数据 传输 

利用 PTK 或 者 GTK ,使 用 相应 的 加 密 协议 对 传输 数据 加 密 后 传送 。 


4.4.7 AP 隔离 


AP 隔离 与 有 线 网 络 中 的 VLAN 相似 , 它 是 将 无 线 网 络 中 的 无 线 客 户 端 进行 相互 隔 
离 , 即 处 于 同一 个 AP 中 的 无 线 客户 端 不 可 以 相互 通信 ,它们 只 能 访问 AP 连接 的 固定 网 
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络 。AP 隔离 通常 应 用 在 公共 场所 ,如 机 场 、 酒 店 等 ,为 客户 提供 安全 的 Internet 访问 。 

1. WLAN AP 中 的 MAC 分 析 

在 IEEE 802. 11 标准 中 对 WLAN 的 MAC 层 和 PHY 物理 层 的 各 种 功能 实现 进行 了 
具体 的 描述 和 规定 。 在 IEEE 802. 11 中 ,对 于 MAC 层 的 内 部 实现 定义 完成 不 同 功 能 的 8 
个 Bi H: MAC-Data-Service, MAC-Management-Service, Distribution-Service, MPDU- 
Generation-AP , Protocol-Control-AP, MLME-AP, Transmission, Reception, 

(D MAC-Data-Service 模块 用 于 实现 MAC 层 数据 和 LLC 上 层 的 处 理 过 程 。 

(2) MAC-Management-Service 则 与 管理 相关 , 它 用 于 对 MAC 层 内 部 运行 进行 管理 并 
完成 与 站 点 上 层 进行 管理 握手 的 处 理 过 程 。 

(3) Distribution-Service 负责 本 地 MAC 层 与 分 布 式 系统 的 接口 处 理 过 程 。 

(4) MPDU-Generation-AP 完成 MSDU 和 管理 帧 经 过 分 段 和 其 他 的 相关 处 理 形 成 
MPDU 的 过 程 。 

(5) Protocol-Control-AP 则 主要 完成 DCF 和 PCF 的 MAC 层 媒 体 介 入 管理 控制 的 
功能 。 

(6) MLME-AP 具体 完成 MAC 层 有 关 管 理 的 具体 实施 和 有 关 管 理 帧 的 生成 和 解释 。 

(7) Transmission 主要 完成 MAC 层 向 PH Y 物理 层 发 送 数据 并 进行 相关 处 理 的 过 程 。 

(8) Reception 完成 MAC 层 从 PHY 层 接受 数据 并 进行 相关 处 理 的 过 程 。 

ER MAC 层 的 核心 模块 结合 外 部 有 关 接 口 的 配合 ,如 与 LLC 上 层 相 连 的 MAC-SAP 
接口 与 站 点 管理 实体 相连 的 SM-MLME-SAP 接口 与 分 布 式 系统 DSM-SAP 连接 的 DSM 
模块 以 及 与 物理 层 进行 接口 的 发 送 和 接受 模块 PHY-SAP-Tx, PHY-SAP-Rx, 即 可 构成 一 
个 完整 的 WLAN AP 接 入 系统 。 

2. 二 层 隔 离 技 术 在 AP 上 的 实现 原理 

TE WLAN 的 MAC 层 结构 中 ,与 有 线 网 络 接 口 功 能 部 分 是 在 Distribution-Service 模块 
中 实现 的 。 在 无 线 局 域 网 AP 接 入 点 的 结构 中 ,Distribution-Service 模块 处 于 DSM-SAP 及 
MAC-DATA-Service 与 MPDU-Generation-AP 之 间 , 主 要 完成 DS 分 布 式 系统 和 本 站 点 
LLC 上 层 以 及 底层 无 线 物理 层 之 间 的 接口 。 其 中 存在 4 条 不 同 的 双向 数据 通道 , 

(QD DS 到 无 线 物理 层 的 通信 。 

(2) 无 线 物理 层 到 DS 的 通信 。 

G) 无 线 物理 层 到 无 线 物理 层 的 通信 。 

(4) ESS 内 AP 到 AP 之 间 的 通信 。ESS 内 AP 到 AP 之 间 的 通信 其 实 也 等 同 于 无 线 
物理 层 到 无 线 物理 层 间 的 通信 过 程 。 

在 实现 二 层 隔 离 功 能 时 ,在 WLAN AP 的 MIB 库 中 设置 一 个 开关 变量 dotlllsolation 
作为 控制 用 户 的 隔离 和 互通 的 选择 。 当 dotlllsolation 为 真 时 ,实现 在 MAC 层 上 的 用 户 间 
的 隔离 ; 当 dotlllsolation 为 假 时 , 则 保持 与 原 有 的 IEEE 802. 11 标准 定义 一 致 ,允许 MAC 
层 上 用 户 之 间 的 互通 。 

当 AP 接 入 点 接收 到 信号 时 ,首先 进行 通路 的 判断 , 当 数 据 是 定向 到 本 地 LLLX 层 和 
DSM 端口 时 , 则 进行 相应 的 处 理 后 发 送出 去 。 如 果 数 据 是 定向 到 本 地 BSS, 则 线性 判断 
dotlllsolation 的 值 , 当 值 为 真 时 则 不 进行 数据 的 转发 ,实现 用 户 数据 的 二 层 隔离 , 当 值 为 假 
时 则 进行 转发 以 实现 用 户 间 的 数据 通信 。 按 照 这 种 方法 实现 无 线 接 入 点 AP 的 二 层 隔离 功 
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能 ,兼容 了 原 有 的 IEEE 802. 11 标准 ,同时 灵活 实现 了 二 层 隔 离 的 效果 。 通 过 SNMP 远程 
控制 dotlllsolation 值 的 改变 ,可 以 从 运营 管理 中 心 远 程 灵活 管理 无 线 接 人 点 AP 的 隔离 和 
互通 ,实现 对 用 户 通信 的 有 效 管理 。 

3. 二 层 隔 离 的 AP 实现 

二 层 隔 离 实现 的 硬件 结构 ,如 图 4-15 所 示 。 


的 站 点 管理 
RF 


ja] IF ”~ BB ~~ MAC [一 一 


射频 单元 ”中 频 单元 。 基带 处 理 ”MAC 层 处 理 ”以 太 网 接口 
图 4-15 无 线 接 人 点 AP 硬件 结构 


从 天 线 接收 下 来 的 信号 经 过 射频 、 中 频 和 基带 处 理 单元 后 ,形成 了 解 扩 后 的 基带 数据 再 
传送 到 MAC 层 的 处 理 芯 片上 。MAC 层 芯 片 完成 对 传送 过 来 的 数据 进行 接收 和 处 理 或 再 
传送 数据 到 基带 处 理 部 分 。 另 外 MAC 层 还 要 完成 对 物理 层 工作 状态 和 频率 以 及 功率 的 调 
节 。 同 时 。MAC 层 批准 实现 了 与 有 限 网 的 10/100Mbps 以 太 网 接口 ,并 在 MAC 层 协议 上 
实现 整个 AP 站 点 的 管理 功能 ,如 图 4-16 所 示 。 

4. AP 隔离 的 仿真 

在 图 4-17 中 ,AP 存在 二 层 隔 离 功 能 时 ,STA1 与 STA2 通过 AP 进行 通信 是 无 法 完成 
的 。 而 STAL 或 者 STA2 与 远程 的 有 线 服务 器 的 通信 则 没有 受到 影响 。 结 果 表 明 , 二 层 隔 
离 功能 在 AP 中 的 实现 可 以 使 得 用 户 通 信 的 数据 必须 到 达 有 线 端 的 接 和 人 控制 器 ,再 由 运营 
商 采 集 用 户 的 通信 信息 并 进行 鉴 权 认证 和 计 费 统计 后 才能 进行 正常 接 入 有 线 网 进行 通信 。 
在 AP 上 通过 修改 Distribution-Service 实现 模块 的 运行 流程 实现 在 MAC 层 上 的 用 户 隔 离 
的 技术 。 


Application or TCP/IP 


802.11 Protocol 
设备 驱动 程序 有 线 服务 器 
202.119.17.100 
Linux RISC cone L2 isolation 
Į Switch 
HFA3863 [-—-| PHY i 
1 PWLANAP 
MMU ethernet JÍ R 
EST ! O Qs 
STAI STA2 
4M x 8flash 4MX I6SRAM 10/100Mbps 以 太 网 202.119.17.95 202.119.17.88 
图 4-16 无 线 接 人 点 软件 结构 图 4-17 二 层 隔 离 功 能 仿真 意图 


4.4.8 IEEE 802.1x 协议 


1. IEEE 802. 1x 的 体系 结构 
IEEE 802. 1x(802. 1 X Port-Based Network Access Control) 基于 端口 的 访问 控制 协 
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议 , 它 主要 解决 无 线 局 域 网 中 用 户 的 接 人 认证 问题 。 对 试图 接 人 无 线 网 络 的 客户 端 进行 身 
份 认证 和 授权 ,以 达到 接受 合法 用 户 接 和 人 ,阻止 非法 用 户 访问 的 目的 。 

IEEE 802. 1x 协议 的 体系 结构 包括 三 方面 : 客户 端 .认证 系统 和 认证 服务 器 。 

(1) 客户 端 系统 也 称 申 请 者 (supplicant) , 即 用 户 终端 系统 。 在 终端 系统 中 ,安装 有 一 
个 客户 端 软件 。 当 客户 接 入 无 线 网 络 需 要 通过 此 客户 端 软件 发 起 IEEE 802. 1x 协议 的 认 
证 过 程 。 

(2) 认证 系统 又 称 认证 者 (authenticator) ,是 指 无 线 接 人 点 。 它 负责 在 客户 端 与 认证 服 
务 器 之 间 传 递 认证 数据 。 它 接收 到 客户 端的 认证 信息 后 将 此 信息 传送 给 认证 服务 器 ,并 将 
认证 服务 器 返回 的 信息 传递 给 客户 端 。 

G) 认证 服务 器 (authentication server) 完 成 客户 端的 身份 认证 。 在 该 服务 器 上 存储 有 
关 用 户 和 无 线 接 入 点 的 信息 。 它 通过 检查 用 户 或 无 线 接 入 点 发 来 的 认证 信息 和 服务 器 上 存 
储 的 用 户 信息 进行 比较 来 判断 是 否 给 该 客户 端 系统 提供 网 络 服务 或 无 线 接 人 点 是 否 合法 。 

在 IEEE 802. 1x 协议 中 ,将 任何 设备 的 网 卡 都 在 逻辑 上 分 为 控制 端口 和 非 控制 端口 。 
控制 端口 有 两 个 状态 ,授权 状态 和 非 授 权 状 态 。 在 IEEE 802. 1x 协议 的 无 线 网 络 中 ,所 有 
正常 的 业务 数据 流 都 通过 控制 端口 传输 ,而 认证 信息 流 则 通过 非 控 制 端 口传 递 。 控 制 端 口 
只 有 在 通过 认证 后 才 会 被 开启 ,处 于 授权 状态 , 非 授 权 状 态 将 不 能 传输 数据 。 由 此 可 知 , 客 
户 端 要 在 网 络 中 通信 , 它 首先 必须 要 通过 认证 服务 器 的 认证 ,在 非 控制 端口 上 传递 认证 信 
息 。 而 非 控 制 端口 处 于 常 开 状 态 。 

2. EAP 可 扩展 认证 协议 

IEEE 802. 1x 协议 的 认证 技术 是 通过 EAP 实现 的 ,EAP 可 扩展 认证 协议 是 PPP 点 到 
点 的 通用 协议 , 它 可 以 支持 多 种 认证 机 制 。 以 下 给 出 三 种 认证 方式 。 

(1) EAP-MD5 认证 方式 。 当 客户 端 登录 时 ,认证 服务 器 只 需要 检测 其 用 户 名 和 密码 
是 否 匹配 , 若 有 匹配 项 , 则 为 用 户 提 供 网 络 服务 ,是 一 种 单 向 认证 方式 。 

(2) EAP-OTP 一 次 性 口令 认证 方式 。 该 机 制 可 以 有 效 防 止 重 放 攻 击 , 也 是 单 向 认证 。 

(3) EAP-TLS 认证 方式 。 既 提供 认证 ,又 提供 密 钥 的 分 发 ,还 提供 数据 的 完整 性 认证 。 
要 使 用 此 种 认证 方式 ,在 无 线 局 域 网 中 的 任何 一 个 客户 端 和 服务 器 都 必须 先 申 请 一 个 标准 
的 x. 509 证 书 并 安装 。 在 认证 过 程 中 ,客户 端 要 相互 交换 证 书 并 协商 出 一 个 基于 会 话 的 密 
钥 。 认 证 成 功 中 ,认证 服务 器 将 此 会 话 密 钥 传递 给 无 线 接 人 点 ,并 通过 接 入 点 允许 该 用 户 

在 WLAN 中 ,为 了 得 到 更 高 安全 性 ,最 好 选用 EAP-TLS 的 认证 方式 。 

3. RADIUS 协议 

在 IEEE 802. 1x 中 使 用 的 认证 协议 是 RADIUS 协议 , 它 是 基于 客户 /服务 器 模型 设计 
的 。RADIUS 协议 使 用 封装 EAP 信息 来 实现 客户 的 认证 , 它 采 用 MD5 算法 来 确保 认证 数 
据 的 传输 安全 。 以 下 以 TLS 认证 为 例 , 说 明 RADIUS 协议 的 认证 过 程 。 

(1) 首先 客户 端 向 AP 发 送 一 个 EAP Start 消息 认证 包 。 

(2) AP 发 出 请 求 帧 ,要求 用 户 输入 用 户 名 。 

(3) 客户 端 响应 请 求 。 将 用 户 名 等 信息 发 送 给 AP。 

(D AP 重新 将 客户 信息 封装 在 RADIUS 协议 包 中 传送 给 认证 服务 器 。 

(5) 认证 服务 器 认证 用 户 合 法 后 ,向 AP 发 送 自 己 的 数字 证 书 。 
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(6) AP 将 服务 器 的 证 书 发 给 客户 。 

(7) 客户 端 根据 该 证 书 验 证 服务 器 的 合法 性 。 

(8) 客户 端 向 服务 器 发 送 自 己 的 数字 证 书 。 

(9) 服务 器 根据 客户 端 证 书 验证 客户 身份 ,完成 相互 认证 。 

(10) 服务 器 向 AP 发 送 会 话 密 钥 ,并 告诉 AP 为 该 用 户 开启 网 络 服务 。 

(11) AP 向 客户 端 转 发 EAP Success 消息 ,认证 成 功 。 

在 整个 认证 过 程 中 ,AP 对 认证 信息 进行 透 传 。 用 于 加 密 信 息 的 会 话 密 钥 在 认证 过 程 
中 协商 。 

4. IEEE 802. 1x 认证 的 缺陷 

IEEE 802. 1x 协议 并 不 是 专 为 WLAN 设计 的 , 它 起 初 应 用 于 有 线 网 络 中 ,后 来 发 现在 
无 线 网 络 中 也 可 以 使 用 ,所 以 应 用 过 来 。 因 此 , 它 没 有 充分 考虑 到 无 线 网 络 的 特点 ,存在 以 
下 的 安全 威胁 。 

CD 中 间 人 攻击 。 尽 管 在 IEEE 802. 1x 协议 中 使 用 EAP-TLS 可 以 实现 客户 端 和 认证 
服务 器 的 双向 认证 ,可 是 在 客户 端 和 AP 之 间 却 只 有 单 向 认证 , 即 只 有 AO 验证 客户 端 ,而 
客户 端 却 无 法 得 知 AP 的 合法 性 。 如 果 攻 击 者 假冒 AP 发 送 一 个 EAP Success 数据 包 给 客 
户 端 ,客户 端 将 无 条 件 将 认证 转 到 完成 状态 ,开始 正常 的 数据 传输 。 这 时 ,攻击 者 就 可 以 在 
认证 系统 和 客户 之 间 转 发 数据 ,实现 中 间 人 攻击 。 尽 管 在 协议 中 ,认证 系统 与 认证 服务 器 之 
EE RADIUS 协议 通信 ,RADIUS 协议 能 够 保证 接 入 点 与 服务 器 之 间 传 输 数 据 的 完整 性 
和 确定 性 ,但 是 单 向 认证 方式 ,使 攻击 绕 过 了 高 层 认 证 过 程 。 

(2) 会 话 支持 (session hijack)。 在 IEEE 802. 1x 协议 中 ,对 用 户 认 证 是 在 会 话 开 始 之 
前 ,一 旦 用 户 通过 认证 ,用 户 的 逻辑 受 控 端 口 就 转 为 授权 状态 ,用 户 可 以 自由 获得 网 络 服务 。 
除非 到 了 预先 设置 的 重新 认证 时 间 , 认 证 系统 不 会 再 对 该 用 户 进行 认证 。 利 用 IEEE 802. 1x 
协议 的 这 个 设计 缺陷 ,攻击 者 可 以 发 动 网 络 攻击 使 某 个 已 经 认证 通过 的 用 户 无 法 工作 ,然后 
在 网 络 中 冒充 该 用 户 。 

G) 拒绝 服务 攻击 (Dos)。 在 IEEE 802. 1x 协议 中 规定 , 当 用 户 不 再 需要 认证 系统 提供 
服务 时 ,向 认证 系统 发 送 一 个 EAP Log off 数据 包 。 如 果 攻 击 者 假冒 用 户 间隔 的 向 认证 系 
统 发 送 一 个 EAP Log off 数据 包 ,客户 端 将 不 能 进行 正常 的 通信 。 

在 认证 系统 和 客户 正常 的 认证 过 程 中 ,如 果 对 客户 的 认证 没有 成 功 , 认 证 系统 会 向 客户 
发 送 EAP Failure 数据 包 , 表 式 认 证 失败 。 这 时 客户 状态 机 转 到 监控 状态 ,直到 60 秒 (默认 
值 ) 后 ,才能 再 次 尝试 与 认证 系统 进行 连接 。 攻 击 者 也 就 可 以 冒充 AP 间隔 的 向 客户 端 发 送 
EAP Failure 数据 包 , 也 会 造成 网 络 无 法 正常 工作 。 


1. 什么 是 冲突 域 ? 什么 是 广播 域 ? 交换 机 代 蔡 Hub 有 哪些 好 处 ? 

2. 为 什么 要 使 用 VLAN? 有 哪 几 种 类 型 的 VLAN? 

3. 为 什么 要 使 用 VPN 技术 ? 以 GRE 隧道 为 例 讲解 VPN 中 的 隧道 技术 的 原理 。 
4. WPA2 和 WPA 相 比 ,安全 性 得 到 了 哪些 提高 ? 
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随 着 网 络 技术 的 普及 ,Internet 的 快速 发 展 ,Internet 这 个 聚集 了 世界 上 最 多 资源 .信息 
的 开放 性 网 络 , 其 网 络 的 安全 性 受到 了 广泛 的 关注 。 在 网 络 上 各 种 对 信息 的 窃听 与 反 窃听 、 
破坏 与 反 破坏 的 技术 越 演 越 烈 。Internet 的 不 安全 因素 来 自 于 几 个 方面 ,Internet 是 开放 型 
的 , 它 面向 所 有 的 用 户 , 所 有 的 资源 通过 网 络 共享 ,由 于 共享 而 产生 安全 问题 。 各 种 操作 系 
统 的 漏洞 .各 种 协议 的 漏洞 以 及 应 用 程序 的 漏洞 ,都 成 为 了 黑客 攻击 网 络 的 人口。 黑客 可 能 
通过 网 络 传播 病毒 对 网 络 上 的 主机 进行 破坏 .通过 搭 线 窃 听 、 利 用 电磁 泄漏 .利用 信息 流 分 
析 等 截取 网 络 信息 ,使 用 假冒 攻击 等 进行 非 授 权 访 问 等 等 。 本 章 将 介绍 影响 Internet 安全 
的 因素 ,其 包括 网 络 操作 系统 的 漏洞 和 防范 、 各 种 协议 的 漏洞 和 防范 以 及 服务 器 应 用 程序 的 

本 章 主 要 内 容 有 : 

。 网 络 操 作 系 统 安全 ; 

* TCP/IP 协议 安全 ; 

。 电子 邮件 安全 漏洞 及 防范 ; 

* Telnet 安全 漏洞 及 防范 ; 

。 FTP 安全 漏洞 及 防范 ， 

* Web 服务 器 安全 漏洞 及 防范 ; 

。 拒绝 服务 攻击 原理 及 防范 ; 

。 缓冲 区 溢出 攻击 及 防范 ; 

* DNS 欺骗 与 防范 技术 ; 

* IP 地 址 欺骗 .盗用 及 防范 技术 。 


5.1 Internet 存在 的 安全 漏洞 


5.1.1 Internet 网 络 安全 概述 


随 着 Internet 的 迅速 发 展 ,Internet 的 安全 性 显得 非常 重要 ,这 是 因为 怀 有 恶意 的 攻击 
者 窃取 、 修 改 网 络 上 传输 的 信息 ,通过 网 络 非法 进入 远程 主机 ,获取 储存 在 主机 上 的 机 密 信 
息 , 或 占用 网 络 资源 ,阻止 其 他 用 户 使 用 等 。 然 而 ,网 络 作为 开放 的 信息 系统 必然 存在 众多 
潜在 的 安全 隐患 ,因此 ,网 络 安全 技术 作为 一 个 独特 的 领域 越 来 越 受 到 全 球 网 络 建设 者 的 关 
注 。 计 算 机 系统 本 身 的 脆弱 性 和 通信 设施 的 脆弱 性 再 加 上 网 络 协 议 的 漏洞 共同 构成 了 网 络 
的 潜在 威胁 。Internet 的 网 络 安全 威胁 主要 来 自 黑 客 和 病毒 攻击 ,各 类 攻击 给 网 络 造成 的 
损失 巨大 。 

1. 常见 的 互联 网 攻击 技术 

1) 缓冲 区 溢出 漏洞 

缓冲 区 溢出 漏洞 是 一 种 非常 普遍 、 非 常 危 险 的 漏洞 ,在 各 种 操作 系统 、 应 用 软件 中 广泛 
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存在 。 漏 洞 产 生 的 原因 主要 是 因为 软件 开发 人 员 在 程序 设计 时 对 数组 没有 进行 边界 检查 从 
而 导致 缓冲 区 溢出 。 恶 意 攻击 者 可 以 使 用 该 漏洞 改变 函数 返回 地 址 或 函数 指针 ,使 程序 流 
程 发 生 改变 ;或 成 功 植 人 恶意 代码 等 等 操作 。 

2) 欺骗 类 攻击 

网 络 协 议 本 身 的 一 些 缺 陷 可 以 被 利用 ,使 黑客 可 以 对 网 络 进行 攻击 ,主要 方式 有 : TP JC 
骗 .ARP 欺骗 ,DNS 欺骗 .Web 欺骗 .电子 邮件 欺骗 、 源 路 由 欺骗 地址 欺骗 等 。 

3) 拒绝 服务 攻击 

拒绝 服务 (Denial of Service. DoS) 攻 击 即 攻击 者 想 办 法 让 目标 机 器 停止 提供 服务 或 资 
源 访问 ,是 黑客 常用 的 攻击 手段 之 一 。 这 些 资 源 包括 磁盘 空间 、 内 存 、 进 程 甚至 网 络 带宽 ,从 
而 阻止 正常 用 户 的 访问 。 分 布 式 拒绝 服务 (Distributed Denial of Service. DDoS) Mih K H 
了 一 种 比较 特别 的 体系 结构 ,从 许多 分 布 的 主机 同时 攻击 一 个 目标 ,从 而 导致 目标 瘫痪 。 

4) 对 防火 墙 的 攻击 

防火 墙 也 是 由 软件 和 硬件 组 成 的 ,在 设计 和 实现 上 都 不 可 避免 地 存在 着 缺陷 ,对 防火 墙 
的 攻击 方法 也 是 多 种 多 样 的 ,如 探测 攻击 技术 、 认 证 的 攻击 技术 等 。 

5) 利 用 病毒 攻击 

病毒 是 黑客 实施 网 络 攻 击 的 有 效 手 段 之 一 , 它 具 有 传染 性 ,隐蔽 性 、 寄 生性 、 繁 殖 性 、 洪 
伏 性 、 针 对 性 、 衍 生性 、 不 可 预见 性 和 破坏 性 等 特性 ,而 且 在 网 络 中 其 危害 更 大 ,目前 可 通过 
网 络 进行 传播 的 病毒 已 有 数 万 种 ,可 通过 注入 技术 进行 破坏 和 攻击 。 

6) 木马 程序 攻击 

特洛伊 木马 是 一 种 基于 远程 控制 的 病毒 程序 ,该 程序 具有 很 强 的 隐蔽 性 和 危害 性 , 它 可 
以 在 用 户 不 知情 的 状态 下 控制 或 者 监视 用 户 的 计算 机 。 

7) 网 络 监听 

在 网 络 中 , 当 信息 进行 传播 的 时 候 , 可 以 利用 工具 ,将 网 络 接口 设置 在 监听 的 模式 , 便 可 
将 网 络 中 正在 传播 的 信息 截获 或 者 捕获 到 。 如 使 用 网 络 监听 工具 ,就 可 以 轻易 地 截取 所 在 
网 段 的 所 有 用 户口 令 和 账号 等 有 用 的 信息 资料 。 

2. 针对 互联 网 不 安全 因素 的 防御 

(1) 定期 的 检测 系统 的 安全 性 ,防毒 和 杀毒 ,抑制 病毒 的 草 延 。 

在 网 络 上 没有 安全 的 主机 ,任何 一 个 操作 系统 和 应 用 软件 都 存在 着 漏洞 或 是 后 门 , 所 以 
为 了 系统 的 安全 ,要 定期 的 检测 系统 的 安全 性 ,为 系统 打上 安全 补丁 。 

以 网 络 作为 媒介 进行 病毒 的 传播 ,是 计算 机 入 侵 中 病毒 人 侵 的 一 种 形式 。 防 毒 是 网 
络 安全 防护 技术 中 的 一 个 重要 部 分 。 在 计算 机 中 安装 几 种 杀毒 软件 ,每 个 杀毒 软件 都 有 
其 自身 的 特色 ,通过 几 种 杀毒 软件 的 综合 利用 ,定期 升级 杀毒 软件 ,可 将 病毒 和 木马 防 串 
于 未 然 。 

(2) 关闭 不 要 的 服务 , 尽 可 能 地 少 提供 服务 。 

一 些 服务 可 能 会 给 系统 带 来 很 大 的 安全 问题 ,提供 越 少 服务 的 系统 ,黑客 的 攻击 的 人 口 
就 越 少 ,系统 也 就 越 安全 。 例 如 ICMP 服务 ,在 防火 墙 上 关闭 ICMP 回溯 报 文 ,可 以 防止 黑 
客 的 ping 攻击 。Telnet 是 一 种 危险 的 服务 ,要 使 Telnet 安全 ,必须 选择 安全 的 认证 方案 ， 
防止 站 点 被 窃听 或 侵袭 。FTP 文件 传输 服务 可 能 带 来 “特洛伊 木马 ”, 这 会 给 站 点 以 毁灭 性 
的 打击 。 
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(3) 提高 用 户 和 管理 员 的 安全 防护 意识 。 

提高 用 户 的 安全 防护 意识 ,将 口令 和 密码 设置 成 长 度 较 长 的 复杂 的 字符 串 。 目 前 ,在 网 
络 中 存在 着 许多 简单 的 密码 ,使 用 密码 破解 工具 在 几 秒 钟 甚至 更 短 的 时 间 内 便 可 以 破解 。 
因此 ,设置 由 多 种 字符 组 成 的 较 长 的 字符 串 ,会 给 破解 带 来 难度 。 

作为 管理 员 , 应 经 常 修 改 管理 员 的 账号 和 密码 。 如 Windows 的 Administrator 和 
UNIX 的 Root 等 。 定 期 的 清理 和 检查 系统 配置 文件 ,查看 系统 日 志文 件 ,都 有 助 于 防止 
AR. 

(4) 定期 备份 重要 文件 ,如 数据 库 文件 ,以 便 系统 被 病毒 感染 或 破坏 后 恢复 数据 。 

3. 基于 网 络 的 安全 防护 技术 

1) 防火 墙 技术 

利用 防火 墙 技术 ,将 内 部 网 络 与 外 部 网 隔离 ,阻止 非法 用 户 对 内 部 网 络 的 访问 ,在 一 定 
程度 上 保护 了 内 部 网 络 的 安全 。 

根据 不 同 的 安全 需求 ,在 防火 墙 上 设置 安全 策略 和 安全 计划 ,明确 规定 哪些 协议 .哪些 
IP 地 址 ,哪些 服务 允许 或 不 允许 使 用 ,对 所 有 进出 的 数据 包 根 据 安全 计划 和 策略 进行 检查 ， 
可 以 选用 默认 允许 (没有 明确 接受 的 就 拒绝 ) 或 默认 拒绝 方式 (没有 明确 被 允许 的 就 拒绝 )， 
判断 该 数据 包 是 通过 还 是 丢弃 。 以 保护 内 部 网 络 的 安全 ,防止 他 人 侵扰 。 现 在 的 防火 墙 提 
供 的 功能 越 来 越 多 , 它 可 以 根据 不 同 的 安全 需求 工作 在 网 络 层 、 传 输 层 和 应 用 层 。 

传统 的 防火 墙 技术 是 包 过 滤 技 术 ,也 就 是 检查 数据 包 中 的 源 目的 TP 地 址 、 源 目的 端口 ， 
判断 该 数据 包 是 否 合法 , 它 也 是 防火 墙 中 最 基本 的 技术 。 现 在 的 防火 墙 技术 还 有 代理 服务 
器 ,应 用 级 网 关 、 状 态 检测 技术 等 。 

由 于 包 过 滤 本 身 的 缺陷 性 ,使 得 包 过 滤 防 火 墙 很 容易 受到 攻击 和 欺骗 。 它 不 能 彻底 防 
止 IP 地 址 欺骗 ;虽然 它 能 根据 端口 号 来 辨别 服务 ,但 它 不 能 保护 在 一 个 服务 之 内 的 单独 操 
作 ; 且 不 能 处 理 新 的 安全 威胁 ,因为 它 的 策略 都 是 用 户 事 先 设置 好 的 。 

通俗 地 说 ,代理 服务 器 也 是 位 于 外 网 和 内 网 之 间 的 一 台 计 算 机 。 当 用 户 向 服务 器 请 求 
数据 时 ,首先 要 经 过 代理 服务 器 ,在 代理 服务 器 上 进行 安全 检查 ,检查 通过 后 ,由 代理 服务 器 
根据 该 请 求 向 服务 器 请 求 数据 ,然后 ,代理 服务 器 再 将 数据 发 往 用 户 。 利 用 代理 服务 技术 ， 
阻止 了 用 户 与 服务 器 之 间 的 直接 连接 。 

根据 代理 服务 设置 的 防火 墙 需要 对 于 每 个 应 用 级 服务 安装 一 个 相应 的 软件 。 目 前 , 常 
用 的 代理 服务 已 经 涵盖 了 HTTP.FTP,SMTP, Telnet 等 各 项 服务 ,但 还 有 一 些 新 的 应 用 和 
服务 类 型 还 没有 相应 的 代理 服务 软件 。 由 于 针对 每 个 应 用 层 服务 安装 了 一 个 软件 ,代理 服 
务 器 与 包 过 滤 技 术 相 比 ,能 够 做 复杂 的 和 更 细 粒 度 的 访问 控制 ,可 以 与 认证 、 授 权 等 安全 手 
段 方便 集成 ,为 客户 和 服务 器 提供 更 高 层次 的 安全 服务 。 

状态 检测 技术 结合 了 分 组 过 滤 和 代理 服务 技术 的 特点 。 它 能 够 对 数据 包 中 的 源 / 目 的 
IP 地 址 ` 源 /目的 端口 和 应 用 层 协 议 进行 检查 。 在 网 络 层 拦截 数据 包 后 , 它 根据 用 户 特 定 的 
安全 需求 在 指定 的 网 络 层次 中 进行 过 滤 或 实现 动态 过 滤 。 

在 状态 检测 技术 中 , 设 有 一 个 动态 链接 表 , 动 态 存储 和 更 新 一 个 通信 的 状态 等 相关 信 
息 。 利 用 动态 链接 表 和 安全 规则 的 结合 ,使 通信 具有 更 好 的 灵活 性 和 安全 性 。 但 是 ,高 强度 
的 验证 检测 ,也 有 它 的 缺点 ,单线 程 的 状态 检测 对 性 能 有 很 大 的 影响 。 

详细 的 防火 墙 技术 将 在 第 7 章 进行 介绍 。 
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2) 入 侵 检测 技术 

入 侵 检 测 就 是 通过 对 行为 .安全 日 志 或 审计 数据 或 其 他 网 络 上 可 以 获得 的 信息 进行 分 
析 ,检测 对 系统 的 间 和 或 间 出 的 企图 ,其 作用 包括 威慑 、 检 测 、 相 应 .损失 情况 评估 攻击 预 测 
和 起 诉 支持 等 。 入 侵 检测 技术 是 为 了 保证 计算 机 的 安全 而 设置 的 ,能 够 及 时 发 现 、 阻 止 并 报 
告 未 授权 用 户 的 入 侵 行为 ,是 一 种 基于 检测 违反 安全 策略 行为 的 技术 。 

Internet 本 身 存在 着 许多 的 安全 隐患 ,容易 受到 黑客 的 攻击 。 为 了 保证 在 网 络 上 传输 
的 安全 需求 , 现 已 发 展 许多 的 网 络 安全 技术 。Internet 的 网 络 安全 问题 ,不 仅 来 自 于 网 络 的 
外 部 ,也 存在 内 部 用 户 的 攻击 ,构造 一 个 完全 安全 的 网 络 是 不 可 能 的 ,所 以 时 时 刻 刻 都 要 提 
高 警惕 ,做 好 各 个 关卡 的 把 关 , 综 合 使 用 加 密 技术 .身份 认证 技术 .防火墙 技术 .入 侵 检测 技 
术 、 隧 道 技术 等 各 种 网 络 安全 技术 .防护 技术 保证 网 络 的 安全 性 。 


5.1.2. 网 络 操作 系统 安全 漏洞 


网 络 操作 系统 (NOS) 是 网 络 的 心脏 和 灵魂 ,是 向 网 络 计算 机 提供 服务 的 特殊 的 操作 系 
统 。 网 络 操作 系统 是 作为 一 个 支撑 软件 ,是 程序 或 别 的 应 用 系统 正常 运行 的 一 个 环境 。 网 
络 操 作 系 统 提供 了 很 多 的 管理 功能 ,主要 是 实现 资源 共享 ,管理 系统 的 软件 资源 和 硬件 资 
源 。 操 作 系 统 软件 自身 的 不 安全 性 ,系统 开发 设计 的 不 周 而 留 下 的 破绽 ,都 给 网 络 安全 留 下 
隐患 。 目 前 ,广大 用 户 欢迎 的 网 络 器 操作 系统 平台 有 UNIX, Linux 和 Windows 等 ,它们 存 
在 着 不 少 的 安全 漏洞 ,如 果 对 这 些 漏洞 不 了 解 , 不 采取 相应 的 对 策 和 防范 措施 ,就 会 使 系统 
完全 暴露 在 入 侵 者 的 入 侵 范 围 之 内 ,随时 有 可 能 遭受 毁灭 性 的 攻击 。 造 成 这 些 漏 洞 的 主要 
原因 有 : 

CD 操作 系统 结构 体系 的 缺陷 。 操 作 系 统 本 身 有 内 存 管理 ,CPU 管理 .外 设 的 管理 ,每 
个 管理 都 涉及 一 些 模块 或 程序 ,如 果 在 这 些 程序 里 面 存 在 问题 ,如 内 存 管理 的 问题 ,外 部 网 
络 的 连接 刚好 连接 到 一 个 有 缺陷 的 模块 ,计算 机 系统 很 可 能 会 因此 崩溃 。 所 以 .有 些 黑客 往 
往 是 针对 操作 系统 的 缺陷 进行 攻击 ,使 计算 机 系统 ,特别 是 服务 器 系统 立刻 瘫痪 。 

(2) 操作 系统 支持 在 网 络 上 传送 文件 .加 载 或 安装 程序 ,包括 可 执行 文件 ,这 些 功能 也 
会 带 来 不 安全 因素 。 网 络 很 重要 的 一 个 功能 就 是 文件 传输 功能 ,如 FTP, 这 些 安装 程序 经 
常会 带 一 些 可 执行 文件 ,这 些 可 执行 文件 都 是 人 为 编写 的 程序 ,如 果 某 个 地 方 出 现 漏洞 , 那 
么 系统 可 能 就 会 造成 月 溃 。 像 远程 调用 .文件 传输 等 功能 的 使 用 ,如 果 在 安装 程序 上 安装 有 
间谍 程序 ,那么 用 户 的 整个 传输 过 程 、 使 用 过 程 都 会 被 别人 监视 到 ,所 有 的 这 些 传输 文件 .加 
载 的 程序 ,安装 的 程序 执行 文件 .都 可 能 给 操作 系统 带 来 安全 的 隐患 。 所 以 ,建议 尽量 少 使 
用 一 些 来 历 不 明 ,或 者 无 法 证 明 它 的 安全 性 的 软件 。 

(3) 操作 系统 不 安全 的 一 个 原因 在 于 它 可 以 创建 进程 ,支持 进程 的 远程 创建 和 激活 , 支 
持 被 创建 的 进程 继承 创建 的 权利 ,这 些 机 制 提供 了 在 远 端 服务 器 上 安装 “间谍 ”软件 的 条 件 。 
若 将 间谍 软件 以 打 补 丁 的 方式 “ 打 ” 在 一 个 合法 用 户 上 ,特别 是 “ 打 ” 在 一 个 特权 用 户 上 ,黑客 
或 间谍 软件 就 可 以 使 系统 进程 与 作业 的 监视 程序 监测 不 到 它 的 存在 。 

OD 操作 系统 有 些 守护 进程 , 它 是 系统 的 一 些 进程 ,总 是 在 等 待 某 些 事件 的 出 现 。 所 谓 
守护 进程 ,比如 说 用 户 有 没 按键 盘 或 鼠标 ,或 者 别 的 一 些 处 理 。 一 些 监控 病毒 的 监控 软件 也 
是 守护 进程 ,这 些 进程 可 能 是 好 的 ,比如 防 病毒 程序 ,一 有 病毒 出 现 就 会 被 捕捉 到 。 
些 进程 是 一 些 病毒 ,一 碰 到 特定 的 情况 ,比如 碰 到 1 月 1 日, 它 就 会 把 用 户 的 硬盘 格式 化 ,这 
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些 进程 就 是 很 危险 的 守护 进程 ,平时 它 可 能 不 起 作用 ,可 是 在 某 些 条 件 发 生 , 比 如 1 月 1 日 ， 
它 才 发 生 作用 ,如 果 操 作 系 统 有 些 守护 进程 被 人 破坏 掉 就 会 出 现 这 种 不 安全 的 情况 。 

(5) 操作 系统 会 提供 一 些 远 程 调用 功能 ,所 谓 远程 调用 就 是 一 台 计 算 机 可 以 调用 远程 
一 个 大 型 服务 器 里 面 的 一 些 程序 ,可 以 提交 程序 给 远程 的 服务 器 执行 ,如 Telnet。 远 程 调用 
要 经 过 很 多 的 环节 ,中 间 的 通信 环节 可 能 会 出 现 被 人 监控 等 安全 的 问题 。 

(6) 操作 系统 的 后 门 和 漏洞 。 后 门 程 序 是 指 那些 绕 过 安全 控制 而 获取 对 程序 或 系统 访 
问 权 的 程序 方法 。 在 软件 开发 阶段 ,程序 员 利 用 软件 的 后 门 程序 得 以 便利 修改 程序 设计 中 
的 不 足 。 一 旦 后 门 被 黑客 利用 ,或 在 发 布 软件 前 没有 删除 后 门 程序 ,容易 被 黑客 当成 漏洞 进 
行 攻击 ,造成 信息 泄密 和 丢失 。 此 外 ,操作 系统 的 无 口令 的 入口, 也 是 信息 安全 的 一 大 隐患 。 

(7) 尽管 操作 系统 的 漏洞 可 以 通过 版 本 的 不 断 升 级 来 克服 ,但 是 系统 的 某 一 个 安全 漏 
洞 就 会 使 得 系统 的 所 有 安全 控制 毫 无 价值 。 当 发 现 问题 到 升级 这 段 时 间 ,一 个 小 小 的 漏洞 
就 足以 使 用 户 的 网 络 瘫痪 。 

为 了 获得 安全 的 网 络 环境 ,有 必要 上 且 必 须 进行 操作 系统 加 固 ,进行 操作 系统 加 固 是 一 种 
用 来 分 析 和 确定 操作 系统 及 服务 程序 弱点 ,并 引入 适当 的 更 改 以 保护 操作 系统 及 其 服务 程 
序 免 受 攻击 的 方法 。 加 固 操作 系统 可 以 帮助 检查 操作 系统 的 各 个 组 件 及 相关 应 用 程序 ,以 
确定 最 安全 的 配置 方案 。 配 置 过 程 包括 从 系统 中 删除 不 必要 的 服务 、 软 件 和 用 户 。 加 固 网 
络 操作 系统 的 具体 方案 应 该 根据 操作 系统 以 及 其 用 途 而 定 , 不 过 总 体 思想 大 致 一 致 ,具体 纲 
要 如 下 : 

。 减 小 无 用 软件 、 服 务 和 进程 的 数目 。 

。 在 持续 提供 对 资源 的 访问 的 同时 ,要 使 所 有 软件 .服务 以 及 进程 配置 处 于 最 安全 的 

。 尽 可 能 避免 系统 对 其 身份 .服务 以 及 功能 等 信息 的 泄露 。 

网 络 操作 系统 的 漏洞 分 析 以 及 加 固 措施 详 见 第 6 章 。 


5.1.3 Internet 应 用 安全 漏洞 


Internet 的 安全 问题 主要 包括 Internet 中 网 络 操作 系统 安全 .协议 安全 应 用 安全 三 方 
面 。 要 真正 解决 Internet 的 安全 隐患 问题 ,就 要 从 这 三 方面 和 人手 。 前 面 读者 已 经 了 解 到 网 
络 操作 系统 安全 的 安全 隐患 ,本 节 将 详细 介绍 Internet 提供 的 服务 以 及 隐患 ,Internet 提供 
的 服务 通常 有 邮件 服务 .Web 服务 .域名 服务 (DNS) , Internet 控制 报 文 协议 (ICMP) 、 网 络 
时 间 协 议 (NTP) 等 ,Internet 应 用 安全 以 及 攻击 主要 来 自 软 件 漏洞 .协议 漏洞 以 及 服务 器 配 
置 的 不 安全 性 引起 的 。 本 节 将 使 读者 了 解 一 些 常 见 服务 及 其 安全 隐患 ,后 续 的 章节 将 会 详 
细 探 讨 。 下 面 是 这 两 年 Internet 最 严重 的 安全 隐患 。 

(1) 未 经 验证 的 参数 。 某 信息 在 被 一 种 网 络 应 用 软件 使 用 之 前 未 被 验证 其 合法 性 , 攻 
击 者 可 以 利用 这 种 信息 攻击 后 方 应 用 软件 组 件 。 

(2) 失效 的 访问 控制 。 控 制 各 种 授权 用 户 的 访问 权限 的 限制 性 条 件 使 用 不 当 , 造 成 攻 
击 者 利用 这 些 漏洞 访问 其 他 用 户 的 账户 或 者 使 用 未 经 授权 的 功能 。 

C3) 失效 的 账户 及 对 话 管理 。 账 户 证 书 和 对 话 权限 没有 得 到 妥当 的 保护 ,导致 攻击 者 
对 密码 、 密 钥 、 对 话 信息 或 者 权限 实施 非法 操作 ,并 以 其 他 用 户 的 身份 通过 认证 。 

(4) 路 站 点 脚本 漏洞 (也 称 为 XSS) : 指 利 用 网 站 漏洞 从 用 户 那 里 恶意 盗 取信 息 。 用 户 
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在 浏览 网 站 ,使 用 即时 通信 软件 ,甚至 在 阅读 电子 邮件 时 ,通常 会 点 击 其 中 的 链接 。 攻 击 者 
通过 在 链接 中 插入 恶意 代码 ,就 能 够 瓷 取 用 户 信息 。 攻 击 者 通常 会 用 十 六 进 制 (或 其 他 编码 
方式 ) 将 链接 编码 ,以 免 用 户 怀疑 它 的 合法 性 。 网 站 在 接收 到 包含 恶意 代码 的 请 求 之 后 会 产 
成 一 个 包含 恶意 代码 的 页 面 ,而 这 个 页 面 看 起 来 就 像 是 那个 网 站 应 当 生 成 的 合法 页 面 一 样 。 
许多 流行 的 留言 本 和 论坛 程序 允许 用 户 发 表 包 含 HTML 和 Javascript 的 帖子 。 假 设 用 户 
甲 发 表 了 一 篇 包含 恶意 脚本 的 帖子 ,那么 用 户 乙 在 浏览 这 篇 帖子 时 ,恶意 脚本 就 会 运行 ,用 
P ZHY session 信息 将 被 盗 取 。 

(5) 缓冲 区 溢出 攻击 : 缓冲 区 溢出 是 指 当 计 算 机 向 缓冲 区 内 填充 数据 位 数 时 超过 了 组 
冲 区 本 身 的 容量 溢出 的 数据 覆盖 在 合法 数据 上 ,理想 的 情况 是 程序 检查 数据 长 度 并 不 允许 
输入 超过 缓冲 区 长 度 的 字符 ,但 是 绝 大 多 数 程序 都 会 假设 数据 长 度 总 是 与 所 分 配 的 储存 空 
间 相 匹配 ,这 就 为 缓冲 区 溢出 埋 下 隐患 。 操 作 系统 所 使 用 的 缓冲 区 又 被 称 为 “堆栈 ”, 在 各 个 
操作 进程 之 间 , 指 令 会 被 临时 储存 在 堆栈 当中 ,堆栈 也 会 出 现 缓冲 区 溢出 。 缓 冲 区 溢出 攻击 
是 指 : 通过 往 程 序 的 缓冲 区 写 超 出 其 长 度 的 内 容 , 造 成 缓冲 区 的 溢出 ,从 而 破坏 程序 的 堆 
栈 , 使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 造 成 缓冲 区 溢出 的 原因 是 程序 中 没有 仔 
细 检 查 用 户 输 入 的 参数 。 

(6) 命令 注入 漏洞 : 当 网 络 应 用 软件 访问 外 部 系统 或 者 是 本 地 操作 系统 时 ,网 络 应 
软件 可 能 会 传递 出 一 些 参数 。 如 果 攻 击 者 能 够 在 这 些 参数 中 嵌入 一 些 恶意 命令 ， aie 
系统 可 能 会 以 这 种 网 络 应 用 软件 的 名 义 来 执行 这 些 命令 ,如 常见 的 SQL 注入 攻击 。 

CO) 出 错时 的 非 正确 处 理 : 在 用 户 对 系统 进行 正常 操作 的 过 程 中 出 现 一 些 错误 ,这 些 
错误 没有 得 到 正确 的 处 理 。 在 这 种 情况 下 ,攻击 者 能 够 利用 这 些 错 误 获 取 到 详细 的 系统 信 
息 , 拒 绝 服务 ,引起 安全 系统 瘫痪 或 者 摧毁 服务 器 。 

(8) 拒绝 服务 攻击 : 攻击 者 极度 消耗 网 络 应 用 资源 ,以 致 其 他 合法 用 户 再 无 法 利用 这 
些 资源 或 使 用 服务 器 提供 的 功能 。 攻 击 者 还 可 以 封锁 用 户 的 账户 或 导致 无 法 进行 账户 
申请 。 

(9) 不 安全 的 配置 管理 : 拥有 一 个 过 得 硬 的 服务 器 配置 标准 对 于 保护 网 络 应 用 软件 来 
说 是 至 关 重 要 的 。 服 务 器 有 许多 可 以 影响 安全 的 配置 选项 ,如 果 这 些 选 项 选择 错误 将 使 服 
务 器 失去 安全 性 。 


5.2 TCP/IP 安全 性 分 析 


5.2.1 TCP 协议 工作 过 程 及 安全 问题 


随 着 网 络 技术 的 发 展 以 及 大 数据 量 数据 的 迁移 需求 ,网 络 带宽 增长 速度 远 远 高 于 处 理 
网 络 流量 时 所 必需 的 计算 节点 的 能 力 以 及 对 内 存 带 宽 的 需求 ,数据 中 心 网 络 架 构 已 经 逐步 
成 为 计算 和 存储 技术 发 展 的 瓶颈 ,迫切 需要 采用 一 种 更 高 效 的 数据 通信 架构 。 

传统 的 TCP/IP 技术 在 数据 包 处 理 过 程 中 ,要 经 过 操作 系统 及 其 他 软件 层 , 需 要 占用 大 
量 的 服务 器 资源 和 内 存 总 线 带 宽 , 所 产生 严重 的 延迟 来 自 系统 庞大 的 开销 数据 在 系统 内 
存 、 处 理 器 缓存 和 网 络 控制 器 缓存 之 间 来 回 进行 复制 移动 ,给 服务 器 的 CPU 和 内 存 造成 了 
沉重 负担 。 特 别 是 面 对 网 络 带宽 、 处 理 器 速度 与 内 存 带 宽 三 者 的 严重 * 不 匹配 性 ,更 造成 了 
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网 络 延 迟 效 应 的 加 剧 。 处 理 器 速度 比 内 存 速度 快 得 越 多 ,等 待 相 应 数据 的 延迟 就 越 多 。 而 
且 , 处 理 每 一 数据 包 时 ,数据 必须 在 系统 内 存 、 处 理 器 缓存 和 网 络 控制 器 缓存 之 间 来 回 移动 ， 
因此 延迟 并 不 是 一 次 性 的 ,而 是 会 对 系统 性 能 持续 产生 负面 影响 。 

互联 网 技术 屏蔽 了 底层 网 络 硬件 细节 ,使 得 异种 网 络 之 间 可 以 互相 通信 。TCP/IP 协 
议 组 是 目前 使 用 最 广泛 的 网 络 互 连 协议 。 但 TCP/IP 协议 组 本 身 存 在 着 一 些 安全 性 问题 。 
这 就 给 "黑客 ? 们 攻击 网 络 以 可 乘 之 机 。 由 于 大 量 重要 的 应 用 程序 都 以 TCP 作为 它们 的 传 
输 层 协议 ,因此 TCP 的 安全 性 问题 会 给 网 络 带 来 严重 的 后 果 。TCP 状态 转移 图 如 图 5-1 


所 示 。 
开始 
应 用 进程 : 被动 打开 | 
发 送 : 无 | 
ra 
^T USTEN 
P : 
ru 被 动 打开 
eA 
E * 
收 : SYN 应 用 进程 关闭 
SYN SENT. EET 
EM Ve 发 : SYN. ACF - 或 超时 
Ve 同时 打开 
7 de 
4. i ^ 
应 用 进程 关闭 EN 人 aerem ; 
发 :| FIN ESTABLISHED "ce CLOSE WAIT| | 
数据 传送 状态 li | 应 用 进程 | | 
1 关闭 | | 
1 发: FIN | ! 
pat: RE OM CORN 同时 关闭 | | 
1 1 | 收 : ACK 
1 [FIN WAIT 1 次 Ax CLOSING | | LIAST ACK fring E 
1 本 RS J 
: 1 
| 收 :|ACK x A E ja | SPUR 
pus. x ENS ES 
! 1 收 : FIN i 
| [riv WAIT 2 H= TIME_WAIT + 
D RACK OMSET S | 
主动 关闭 
说 明 客户 的 正常 状态 变迁 


ieu 一 说 明 服务 器 的 正常 状态 变迁 


应 用 进程 : 说 明 当 应 用 执行 某 种 操作 时 发 生 的 状态 变迁 
收 : 说 明 当 收 到 TCP 报 文 段 时 状态 的 变迁 
发 : 说 明 为 了 进行 某 个 状态 变迁 要 发 送 的 TCP 报 文 段 


图 5-1 TCP 状态 转移 图 


假设 有 两 台 主 机 A、B 和 入 侵 者 控制 的 主机 X. it B 授予 A 某 些 特权 ,使 得 A 能 够 
获得 B 所 执行 的 一 些 操作 。X 的 目标 就 是 得 到 与 B 相同 的 权利 。 为 了 实现 该 目标 ,X 必须 
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执行 两 步 操作 : 

(1) 与 B 建立 一 个 虚假 连接 。 

(2) 阻止 A 向 BB 报告 网 络 证 实 系 统 的 问题 。 主 机 X 必须 假 造 A 的 IP 地 址 ,从 而 使 B 
相信 从 X 发 来 的 包 的 确 是 从 A 发 来 的 。 

我 们 同时 假设 主机 A 和 B 之 间 的 通信 遵守 TCP/IP 的 三 次 握手 机 制 。 握 手 方法 是 ， 


A>: SN 序列 号 =M) 

B>A: SNIF Z) =N) 
AKN SE -Mr1) 

A>B: AK( 应 答 序号 =Nt+ 1) 
主机 X 伪造 IP 地 址 的 步骤 如 下 : 

CD X 冒充 A, 向 主机 B 发送 一 个 带 有 随机 序列 号 的 SYN 包 。 主 机 B 响应 ,向 主机 A 
发 送 一 个 带 有 应 答 号 的 SYN 十 ACK 包 ,该 应 答 号 等 于 原 序列 号 加 1。 

(2) 主机 B 产生 自己 发 送 包 序列 号 ,并 将 其 与 应 答 号 一 起 发 送 。 为 了 完成 三 次 握手 , 主 
机 X 需要 向 主机 了 B 回 送 一 个 应 答 包 ,其 应 符号 等 于 主机 B 向 主机 A 发 送 的 包 序列 号 加 1。 
假设 主机 XX 与 A 和 B 不 同 在 一 个 子 网 内 , 则 不 能 检测 到 B 的 包 , 主 机 X 只 有 算出 也 的 序列 
号 ,才能 创建 TCP 连接 。 其 过 程 描述 如 下 : 

X>B: SIN 序列 号 =M ,SRC- A 

B>A: SYN (T Pl 5) — N) AK (W 55 — Me 1) 

XB: AK( 应 答 号 =N+ 1),SRC-A 

G) 主机 X 应 该 阻止 主机 A 响应 主机 B 的 包 。 为 此 ,X 可 以 等 到 主机 A 因 某 种 原因 终 
止 运行 ,或 者 阻塞 主机 A 的 操作 系统 协议 部 分 ,使 它 不 能 响应 主机 B. 

一 旦 主机 XX 完成 了 以 上 操作 , 它 就 可 以 向 主机 B 发 送 命令 。 主 机 B 将 执行 这 些 命令 ， 
认为 它们 是 由 合法 主机 A 发 来 的 。 

上 述 的 入 侵 过 程 ,主机 XX 应 阻止 主机 A 向 主机 B 发 送 响 应 包 , 主 机 X 会 发 送 一 系列 的 
SYN 包 , 导 致 A 不 会 向 B 发 送 SYN-ACK 包 , 从 而 中 止 主机 A 和 主机 B 建立 连接 。 如 前 所 
述 ,TCP 维持 一 个 连接 建立 定时 器 。 如 果 在 规定 时 间 内 (通常 为 75 秒 ) 不 能 建立 连接 , 则 
TCP 将 重 置 连接 。 在 前 面 的 例子 中 ,服务 器 端口 是 无 法 在 75 秒 内 作出 响应 的 。 

下 面 讨论 一 下 主机 X 和 主机 A 之 间 相 互 发 送 的 包 序 列 。X 向 A 发 送 一 个 包 , 其 SYN 
位 和 FIN 位置 位 ,A E X 3S ACK 包 作 为 响应 : 


XA: SIN FIN( 序 列 号 =M 

A>X: AK( 应 答 序 号 =M+ 1) 

从 图 5-2 的 状态 转移 可 以 看 出 ,A 开始 处 于 监听 (Listen) 状 态 。 当 它 收 到 来 自 X 的 包 
后 ,就 开始 处 理 这 个 包 。 值 得 注意 的 是 ,在 TCP 协议 中 ,关于 如 何 处 理 SYN 和 FIN 同时 置 
位 的 包 并 未 作出 明确 的 规定 。 假 设 它 首先 处 理 SYN 标志 位 ,转移 到 SYN-RCVD 状态 。 然 
后 再 处 理 FIN 标志 位 ,转移 到 CLOSE-WAIT 状态 。 如 果 前 一 个 状态 是 ESTABLISHED. 
那么 转移 到 CLOSE-WAIT 状态 就 是 正常 转移 。 但 是 ,TCP 协议 中 并 未 对 从 SYN-RCVD 
状态 到 CLOSE-WAIT 状态 的 转移 作出 定义 。 但 在 几 种 TCP 应 用 程序 中 都 有 这 样 的 转移 ， 
例如 开放 系统 SUN OS4. 1. 3. SUR4 和 ULTRX4.3。 因 此 ,在 这 些 TCP 应 用 程序 中 存在 一 
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条 TCP 协议 中 未 作 定义 的 从 状态 SYN-RCVD 到 状态 CLOSE-WAIT 的 转移 弧 , 如 图 5-2 


所 示 。 
开始 
TCP 状 态 转移 的 问题 
应 用 进程 : 被 动 打开 l 
发 :无 应 用 进程 : 主动 打开 
ik: SYN „J LISTEN 发 : SYN 
发 : SYN, ACK 7. 
收 : SYN 应 用 进程 : 关闭 
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关闭 | 应 用 进程 : 关闭 | 
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| z E. | 
| ! 同时 关闭 | i | | 
| FIN WAIT 1 MUN CLOSING i | i | 收 : ACK 
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| 发 : | 
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| [ FIN_WAIT 2 fr: FIN TIME WAIT H 
| 发 : ACK 2MSLEBHI 
PRENSA PRESE. 
主动 关闭 


—----e 说 明 服务 器 的 正常 状态 变迁 
一 -一 外 部 转移 
收 : 说 明 当 收 到 TCP 报 文 段 时 状态 的 变迁 
R: 说 明 为 了 进行 某 个 状态 变迁 要 发 送 的 TCP 报 文 段 
图 5-2 TCP 状态 图 的 一 个 外 部 转移 


在 上 述 入 侵 例 子 中 ,由 于 三 次 握手 没 能 彻底 完成 .因此 并 未 真正 建立 TCP 连接 ,相应 的 
网 络 应 用 程序 并 未 从 核心 内 获得 连接 。 但 是 ,主机 A 的 TCP 机 处 于 CLOSE-W AIT 状态 ， 
因此 它 可 以 向 X 发送 一 个 FIN 包 终 止 连接 。 这 个 半 开 放 连 接 保留 在 套 接 字 侦 听 队列 中 ,而 
且 应 用 进程 不 发 送 任何 帮助 TCP 执行 状态 转移 的 消息 。 因 此 ,主机 A 的 TCP 机 被 锁 在 了 
CLOSE-WAIT 状态 。 如 果 维 持 活动 定时 器 特征 被 使 用 .通常 2ms 后 TCP 将 会 重 置 连接 并 
转移 到 CLOSED 状态 。 

当 TCP 机 收 到 来 自 对 等 主机 的 RST 时 ,就 从 ESTABLISHED, FINWAIT-1 和 FIN- 
WAIT-2 状态 转移 到 CLOSED 状态 。 这 些 转 移 是 很 重要 的 ,因为 它们 重 置 TCP 机, 且 中 断 
网 络 连 接 。 但 是 ,由 于 到 达 的 数据 段 只 根据 源 IP 地 址 和 当前 队列 窗口 号 来 证 实 。 因 此 入 侵 
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者 可 以 假装 成 已 建立 了 合法 连接 的 一 个 主机 ,然后 向 另 一 台 主 机 发 送 一 个 带 有 适当 序列 号 
的 RST 段 ,这 样 就 可 以 终止 连接 。 

从 上 面 的 分 析 可 以 看 到 几 种 TCP 应 用 程序 中 都 存在 外 部 状态 转移 。 这 会 给 系统 带 来 
严重 的 安全 性 问题 。 


5.2.2 IP 协议 安 全 问题 


IP 是 TCP/IP 协议 族 中 最 重要 的 协议 ,IP 层 接收 由 底层 (如 数据 链 路 层 ) 发 来 的 数据 
包 , 并 把 该 数据 包 发 到 更 高 层 一 一 传输 层 (TCP 或 UDP 层 ) ;相反 ,IP 层 也 将 从 TCP 或 
UDP 层 接收 来 的 数据 包 发 送 到 底层 ,IP 数据 包 中 含有 发 送 它 的 源 主机 地 址 或 目的 主机 地 
址 (IP 地 址 )。 高 层 的 TCP 或 UDP 服务 在 接收 数据 包 时 ,通常 假设 数据 包 中 的 地 址 是 有 效 
的 , 亦 即 这 些 服务 相信 数据 包 是 从 一 个 有 效 的 主机 地 址 发 送 过 来 的 ,也 就 是 说 ,IP 地 址 是 许 
多 服务 的 认证 基础 。 但 IP 层 提供 的 服务 是 不 可 靠 的 , 它 没有 采取 任何 有 效 措施 来 保证 所 传 
送 的 数据 包 内 容 的 真实 性 。 也 就 是 说 IP 协议 缺乏 一 种 有 效 机 制 来 确定 数据 包 的 真正 来 源 ， 
IP 包 中 没有 任何 东西 可 以 确定 包 中 的 源 地 址 和 目的 地 址 是 否 遭 到 算 改 过 。 目 前 针对 IP 的 
攻击 有 以 下 几 种 类 型 ; 

。 RIR: 因为 在 网 络 拓扑 中 ,IP 包 从 源 到 目的 也 能 被 其 他 的 节点 看 见 , 因 而 外 面 的 节 

点 能 获得 IP 载荷 (例如 ,IP 包 中 很 可 能 包含 口令 或 其 他 重要 数据 ) 。 
* IP 欺骗 : 伪造 IP 包 中 源 IP 地 址 装扮 成 被 信任 主机 ,建立 起 与 目标 主机 基于 地 址 验 
证 的 应 用 连接 ,放置 一 个 系统 后 门 ,进行 非 授 权 操 作 ,达到 破坏 目标 主机 的 目的 。 

。 会 话 劫持 : 伪装 成 合法 的 IP 包 出 现 , 目 的 是 传递 错误 的 信息 。 

传统 的 方法 是 把 对 付 这 些 攻击 的 方案 放 在 应 用 层 , 但 是 ,这 些 方案 并 非 总 是 能 很 好 地 协 
同 工 作 ,并 且 容 易 造 成 应 用 上 的 重复 。 因 此 人 们 提出 了 IP 安全 性 的 问题 ,其 目的 是 要 采用 
合适 的 算法 ,对 建立 在 端 到 端 系统 上 的 应 用 能 够 提供 对 信息 的 认证 、 信 息 的 完整 性 和 信息 的 
保密 的 确保 服务 ,IPSec 协议 应 运 而 生 ,IPSec 是 由 Internet. 工程 任务 组 (IETF) 开 发 的 , 通 
过 修改 IP 协议 (或 网 络 层 ) 以 提高 安全 性 , 它 是 一 个 国际 标准 ,是 一 套 开 放 的 安全 性 的 体系 
结构 。 它 不 是 某 种 特殊 的 加 密 算 法 或 认证 算法 ,也 没有 在 它 的 数据 结构 中 指定 某 种 特殊 的 
加 密 算法 或 认证 算法 , 它 只 是 一 个 开放 的 结构 ,定义 在 TP 数据 包 格式 中 ,为 目前 流行 的 加 密 
算法 或 认证 的 实现 提供 了 数据 结构 ,为 这 些 算法 的 实现 提供 了 统一 的 体系 结构 。 这 有 利于 
数据 安全 方面 的 措施 进一步 发 展 和 标准 化 。IPSec 协议 的 目的 是 为 了 保护 网 络 层 的 安全 ， 
并 在 网 络 层 上 提供 安全 服务 。 

IPSec 协议 允许 为 主机 之 间 的 数据 通道 增加 安全 属性 ,本 质 上 ,真正 加 密 数据 通道 是 建 
立 在 主机 之 间 的 。 如 果 一 个 主机 与 男 一 个 主机 之 间 建 立 起 一 条 安全 的 IP 通道 ,那么 所 有 在 
这 条 通道 上 传输 的 IP 包 都 要 自动 地 被 加 密 。 

IPSec 协议 都 是 采用 IP 封装 技术 ,其 本 质 是 源 端 , 纯 文 本 的 包 被 加 密 ,封装 在 外 层 的 IP 
报头 里 ,由 报头 来 对 加 密 的 包 进行 Internet. 上 的 路 由 选择 ,到达 另 一 端 时 ,外 层 的 IP 报头 被 
拆 开 , 报 文 被 解密 ,然后 送 到 目的 地 点 。 

IPSec 在 网 络 层 提供 了 安全 服务 ,主要 是 通过 对 数据 的 加 密 和 数据 收发 方 的 身份 认证 ， 
来 为 数据 的 传输 提供 保护 。 网 络 层 主要 采用 防火 墙 \VPN 作为 安全 防护 手段 ,实现 基本 的 
安全 防护 。IPSec 的 基本 结构 如 图 5-3 所 示 。 


121 


网 络 安全 技术 


122 


IPSec 安全 体系 | 
i 


EHETEAHNIESP) FERAH) 
i 1 t 
加 密 算法 验证 算法 
i i 
| FER 


} 


密 钥 管理 (IKE) 一 一 一 策略 


图 5-3 IPSec 的 基本 结构 图 


该 结构 体现 了 各 组 件 之 间 的 交互 方式 , 它 主要 利用 两 大 传输 安全 协议 即 AH 和 ESP 以 
及 IKE 来 实现 安全 服务 。 其 中 , AH 提供 IP 包 的 真实 性 和 完整 性 ,ESP 提供 保密 性 ,而 
IKE 则 解决 密 钥 的 安全 交换 ,IPSec 的 详细 讲解 请 参见 3.5 节 。 

网 络 层 安全 性 的 主要 优点 是 它 的 透明 性 。 由 于 是 在 低层 实施 安全 服务 ,可 以 对 所 有 高 
层 数据 执行 保护 , 它 无 须 高 层 协议 和 应 用 做 任何 改动 。 它 的 主要 缺点 是 不 能 实施 细 粒 度 的 
安全 控制 。 由 于 网 络 层 不 对 数据 包 是 否 属于 不 同 进程 做 任何 区 别 , 它 对 所 有 去 往 同 一 地 址 
的 包 ,按照 同样 的 加 密 机制 和 访问 控制 方式 来 处 理 , 这 可 能 导致 不 能 提供 所 需 的 细 粒 度 安全 
控制 。 

简 而 言 之 ,网 络 层 很 适合 提供 基于 主机 的 安全 服务 。 目 前 大 多 数 防 火 墙 \VPN 选择 在 
网 络 层 实现 基本 的 安全 防护 。 


5.2.3 ICMP 协议 的 安全 问题 


ICMP(Internet Control and Message Protocol) 的 主要 功能 是 用 来 进行 错误 信息 和 控 
制 信息 的 传递 。 它 属于 TCP/IP 协议 族 网 络 层 协议 。 其 目的 就 是 让 我 们 能 够 检测 网 路 的 连 
线 状况 ， 也 能 确保 连 线 的 准确 性 ， 其 功能 主要 有 : 

。 侦 测 远 端 主 机 是 否 存 在 。 

。 建立 及 维护 路 由 资料 。 

。 重 导 资 料 传 送 路 径 。 

。 资料 流量 控制 。 

ICMP 在 沟通 之 中 ,主要 是 通过 不 同 的 类 别 (type) 与 代码 (code) 让 机 器 来 识别 不 同 的 
连 线 状况 。 图 5-4 给 出 了 ICMP 报 文 的 格式 ,包括 SB 的 首部 和 可 变 长 的 数据 。 在 ICMP 的 
数据 中 , 报 文 分 为 两 种 : 

(1) 差错 报告 报 文 携带 了 引起 差错 的 原始 分 组 ,如 Ping 命令 检测 到 网 络 不 通 时 返回 的 
报 文 。 

(2) 查询 报 文 携带 了 基于 查询 类 型 的 额外 信息 ,如 Traceroute 返回 的 路 由 信息 。 

如 常用 的 Ping 命令 ,通信 过 程 是 一 台 主 机 向 一 个 节点 发 送 一 个 Type 8 的 ICMP 报 
文 ,如果 途中 没有 异常 (如 被 路 由 器 丢弃 、 目 标 不 回应 ICMP 或 传输 失败 ), 则 目标 返回 Type 
—0 的 ICMP 报 文 ,说 明 这 台 主 机 存在 。 而 如 果 返 回 Type—3 的 ICMP 报 文 , 则 说 明 目 标 不 
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xm | 代码 校 验 和 
首部 的 其 余部 分 
数据 


图 5-4 ICMP 报 文 格式 

。 类 型 , 8 位 字段 ,定义 了 ICMP 报 文 类 型 。 

。 代 码 , 8 位 字段 ,定义 了 这 个 特定 报 文 类 型 的 原因 。 

。 校 验 和 : 16 位 字段 ,定义 了 包含 ICMP 首部 和 数据 的 校 验 和 。 


可 达 , 这 时 通过 查看 代码 字段 的 值 便 可 知道 不 可 达 的 原因 ,如 Code=0 代表 网 络 不 可 达 。 

介绍 完 ICMP 的 基本 原理 , 接 下 来 看 看 ICMP 主要 面临 的 安全 威胁 。 由 于 ICMP 设计 
过 于 简单 ,所 以 它 对 网 络 安全 有 比较 大 的 负面 影响 。ICMP 协议 是 无 连接 的 。 只 要 源 端 完 
成 ICMP 报 文 的 封装 并 发 送出 去 ,这 个 报 文 就 会 被 投递 到 目的 主机 ,这 是 ICMP 协议 灵活 的 
地 方 , 同 时 也 是 安全 薄弱 的 环节 ,因为 源 端 可 以 随便 使 用 编程 技术 改写 ICMP 首部 和 IP. 地 
址 ,伪造 ICMP 报 文 并 发 送出 去 ,而 不 留 下 任何 痕迹 ,也 就 为 各 种 攻击 提供 了 便利 。 目 前 常 
见 有 以 下 两 种 方式 利用 ICMP 进行 攻击 。 

1. 拒绝 服务 攻击 

由 于 ICMP 报 文 ICMP 头 部 和 IP. 地 址 可 以 伪造 ,所 以 攻击 者 可 以 使 用 工具 软件 (如 
Pingflood, Smurf, Echok 等 ) 构 造 大 量 的 伪造 数据 包 ,发 向 目标 主机 ,以 消耗 其 带宽 .计算 机 
CPU 等 资源 ,此 攻击 方式 种 类 多 ,而 且 不 容易 防止 。 该 攻击 方式 又 分 为 以 下 几 种 : 

(1) 直接 Flood 攻击 。 就 是 通过 “肉鸡 ”向 目标 高 速 发 送 大 量 ICMP ECHO 报 文 ,其 IP 
地 址 可 以 是 伪造 后 的 TP 地 址 。 

(2) 反射 攻击 。 这 种 方式 非常 隐蔽 ,这 种 攻击 模式 里 ,最 终 滤 没 目标 的 数据 包 不 是 由 攻 
击 者 发 出 的 ,也 不 是 伪造 IP 发 出 的 ,而 是 正常 通信 的 服务 器 发 出 的 。 实 现 的 原理 也 不 算 复 
杂 , 通 过 工具 如 Smurf W IP 设置 为 受害 者 IP, 然 后 向 多 台 服 务 器 发 送 ICMP 报 文 (通常 是 
ECHO 请 求 ) ,这 些 接 收报 文 的 服务 器 被 报 文 欺骗, 向 受害 者 返回 ECHO 应 答 (Type 二 0)。 
最 后 造成 受害 者 资源 耗 尽 ,对 正常 的 数据 包 无 法 处 理 。 

2. 基于 重 定向 (redirect) 的 路 由 欺骗 技术 
主机 和 路 由 器 基于 路 由 表 找 出 下 一 跳 地 址 ,实现 IP 分 组 的 转发 。 如 果 网 络 拓扑 结构 改 
变 了 ,那么 在 主机 和 路 由 器 中 的 路 由 表 就 要 改变 。 通 过 路 由 选择 协议 可 实现 路 由 器 中 路 由 
表 的 动态 更 新 。 由 于 Internet 上 的 主机 数量 比 路 由 器 要 多 得 多 ,动态 地 更 新 主机 的 路 由 表 
会 产生 不 可 接受 的 通信 量 。 为 了 提高 效率 ,主机 都 不 参与 路 由 选择 的 更 新 过 程 。 主 机 通常 
使 用 静态 路 由 选择 ,当主 机 开始 连接 网 络 时 ,只 有 很 小 的 路 由 表 , 一 般 只 包含 默认 路 由 。 当 
路 由 器 检测 到 一 台 主 机 使 用 非 优化 的 路 由 时 , 收 到 这 个 分 组 的 路 由 器 会 把 分 组 转发 给 正确 
的 路 由 器 ,同时 向 主机 发 送 改变 路 由 报 文 . 即 Type=5 H. Code 取 值 为 0 一 3 的 ICMP 报 文 。 
攻击 者 可 以 利用 伪造 的 ICMP 重 定向 报 文 破坏 路 由 ,并 以 此 增强 其 窃听 能 力 。 除 了 路 由 器 ， 
主机 必须 服从 ICMP 重 定向 消息 ,这 就 可 能 引起 目标 主机 拥有 的 是 一 张 无 效 路 由 表 。 如 果 
一 台 机 器 伪装 成 路 由 器 截获 所 有 到 某 些 目标 网 络 或 全 部 目标 网 络 的 IP 数据 包 , 这 样 就 形成 
了 窃听 。 通 过 ICMP 技术 还 可 以 对 防火 墙 后 的 机 器 进行 攻击 和 窃听 。 

除 此 外 向 目标 主机 发 送 超出 最 大 长 度 的 包 造 成 目标 机 的 缓冲 区 溢出 可 以 实现 目标 主机 
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死机 ,不 过 这 对 Linux 或 UNIX 操作 系统 是 无 效 的 ,目前 Windows 系统 也 对 该 漏洞 进行 了 
补丁 方式 的 封 堵 。 


5.3 Web 安全 与 HTTP 访问 安全 技术 


5.3.1 Web 服务 器 上 的 漏洞 


Web 服务 器 产品 包括 仅 用 于 提供 静态 页 面 的 .极其 简单 的 轻 量 级 软件 ,以 及 可 处 理 各 
种 任务 的 非常 复杂 的 应 用 程序 平台 。 以 前 ,Web 服务 器 软件 被 一 系列 严重 的 安全 漏洞 所 困 
扰 ,使 得 攻击 者 能 够 执行 任意 代码 、 窃 取 文 件 和 提升 权限 。 
供应 商 的 客户 使 用 了 供应 商 提供 的 软件 漏洞 补丁 后 ,任何 介绍 这 些 补丁 的 安全 漏洞 的 
书籍 就 会 过 时 。 因 此 对 渗透 测试 员 来 说 ,更 重要 的 是 必须 了 解 这 个 领域 内 出 现 的 原理 与 技 
巧 。 这 里 将 举例 说 明 长 久 以 来 一 直 困 扰 Web 服务 器 的 各 种 漏洞 ,并 介绍 一 种 查找 新 漏洞 的 
方法 。 还 有 大 量 可 能 导致 目录 列表 、 源 代码 泄露 及 其 他 问题 的 严重 漏洞 , 受 篇 幅 所 限 , 这 里 
就 不 再 介绍 。 

1. 缓冲 区 溢出 漏洞 

缓冲 区 溢出 漏洞 可 以 使 攻击 者 控制 易 受 攻击 的 进程 ,因此 ,这 种 漏洞 是 影响 各 种 软件 的 
最 严重 的 漏洞 ( 详 见 5. 10 节 )。 如 果 攻 击 者 能 够 在 Web 服务 器 中 执行 任意 代码 ,他 就 能 攻 
破 其 中 运行 的 任何 应 用 程序 。 

下 面 介绍 少数 几 种 Web 服务 器 缓冲 区 溢出 漏洞 。 

1) Microsoft IIS ISAPI 扩展 

Microsoft IIS 4 与 5 包含 一 系列 默认 激活 的 ISAPI 扩展 。2001 年 ,人 们 发 现 其 中 几 个 
扩展 存在 缓冲 区 溢出 漏洞 .包括 Internet Printing Protocol 扩展 与 Index Server 扩展 。 这 些 
漏洞 使 得 攻击 者 能 够 在 Local System 权限 下 执行 任意 代码 ,进而 完全 控制 整个 计算 机 ,并 
以 此 为 基础 传播 Nimda 与 Code Red 蠕虫 ,随后 将 它们 迅速 扩散 。 下 面 的 Microsoft 
TechNet 公告 牌 详细 说 明了 这 些 漏洞 ; 


Www.microsoft .oom/technet/security/bulletin/MS01- 023. mspx 

www.microsoft.cm/technet/security/bulletin/MS01- 033. mspx 

2) Apache 分 块 编码 溢出 

2002 年 ,人 们 在 Apache Web 服务 器 中 发 现 一 个 由 整数 符号 错误 导致 的 缓冲 区 溢出 漏 
洞 。 存 在 漏洞 的 代码 被 重复 用 在 许多 其 他 Web 服务 器 产品 中 ,使 得 这 些 产品 也 受到 影响 ， 
详 见 www. securityfocus. com/bid/5033/discuss. 

3) Microsoft IIS WebDav i 

Windows 操作 系统 的 一 个 核心 组 件 中 的 缓冲 区 溢出 漏洞 于 2003 年 被 发 现 。 这 个 漏洞 
可 被 各 种 攻击 向 量 利 用 ,对 许多 客户 而 言 , 其 中 最 重要 的 是 Microsoft IIS 5 内 置 的 Web- 
Dav 支持。 在 修复 之 前 ,这 个 漏洞 曾 被 攻击 者 广泛 利用 , 详 见 www. microsoft. com/ 
technet/security/ bulletin/MS03-007. mspx。 

4) iPlanet 搜索 溢出 

2002 年 ,人 们 发 现 iPlanetWeb 服务 器 的 搜索 组 件 存在 栈 溢出 漏洞 。 攻 击 者 提交 一 个 
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超 长 的 参数 值 ,就 可 以 拥有 默认 的 Local System 权限 ,从 而 执行 任意 脚本 , 详 见 www. 
ngssoftware. com/advisories/sun-iws. txt。 

2. 路 径 遍 历 漏 洞 

各 种 类 型 的 Web 服务 器 软件 存在 相同 类 型 的 漏洞 ,使 攻击 者 能 够 读 取 或 写 人 Web 根 
目录 以 外 的 任意 文件 。 到 目前 为 止 , 已 被 发 现 的 漏洞 有 : 

1) 远程 文件 泄露 漏洞 (Accipiter DirectServer) 

Accipiter DirectServer 路 径 遍 历 漏洞 可 通过 在 一 个 请 求 中 插入 URL 编码 的 “点 一 点 一 
和 斜 线 ?序列 加 以 利用 。 详 见 www. securityfocus. com/bid/9389 。 

2) 文件 访问 漏洞 (Alibaba) 

Alibaba 路 径 遍 历 漏洞 可 通过 在 一 个 请 求 中 插入 简单 的 “点 一 点 一 斜 线 ?序列 加 以 利 
用 , 详 见 www. securityfocus. com/bid/270, 

3) Cisco ACS Acme. server 漏洞 

Cisco ACS Acme. server 路 径 遍历 漏洞 可 通过 在 URL 中 的 主机 名 称 后 附加 “和 斜 线 "加 
以 利用 。 它 可 使 Web 服务 器 从 服务 器 文件 系统 的 根 目录 中 提取 文件 , 详 见 www. ciac. org/ 
ciac/ bulletins/ m-097. shtml, 

4) 远程 信息 泄露 漏洞 (McAfee EPolicy Orcestrator) 

McAfee EPolicy Orcestrator 用 一 个 POST 请 求 上 传 用 户 提 交 的 数据 ,并 将 这 些 数 据 写 
入 到 用 户 提 交 的 位 置 。 可 以 请 求 指 定 文件 系统 中 的 任何 一 个 文件 , 详 见 www. 
securityfocus. com/bid/18979, 

3. 编码 与 规范 化 漏洞 

我 们 可 以 使 用 各 种 编码 方案 对 不 常见 的 字符 和 内 容 进行 编码 ,以 方便 通过 HTTP 安全 
传送 。 如 果 Web 应 用 程序 中 存在 几 种 类 型 的 漏洞 ,攻击 者 就 可 以 利用 这 些 编码 方案 避 开 输 
入 确认 检查 ,实施 其 他 攻击 。 

许多 Web 服务 器 软件 中 都 存在 编码 漏洞 ,如 果 用 户 提交 的 相同 数据 被 使 用 各 种 技术 的 
几 个 保护 层 处 理 ,编码 漏洞 就 会 造成 严重 的 威胁 。 一 个 典型 的 Web 请 求 可 能 被 Web 服务 
器 .应 用 程序 平台 、 各 种 托管 与 非 托管 API、 其 他 软件 组 件 与 基础 操作 系统 处 理 。 如 果 不 同 
的 组 件 以 不 同 的 方式 执行 一 种 编码 方案 ,或 者 对 已 被 部 分 编码 的 数据 进行 其 他 解码 或 注释 , 那 
么 攻击 者 就 可 以 利用 这 种 行为 避 开 过 滤 或 造成 其 他 反常 行为 ,到 目前 为 止 ,被 发 现 的 漏洞 有 : 

1) Allaire JRun 目录 列表 漏洞 

2001 年 ,人 们 在 Allaire JRun 中 发 现 一 个 漏洞 ,即使 目录 中 包含 index. html 之 类 的 默 
认 文 件 , 攻 击 者 仍然 可 以 利用 这 个 漏洞 获取 目录 列表 。 攻 击 者 可 以 使 用 以 下 形式 的 URL 
获取 目录 列表 : 

https://wahh- agp.can/dir/$ 3£. jsp 

%3f 是 问号 的 URL 编码 形式 , 它 常 用 在 查询 字符 串 的 开始 部 分 。 漏 洞 之 所 以 产生 ,是 
因为 最 初 URL 解析 器 并 未 将 %3f 解释 为 查询 字符 串 指示 符 。 因 此 ,服务 器 认为 URL 以 
.jsp 结尾 ,将 请 求 提交 给 负责 JSP 文件 请 求 的 组 件 处 理 。 然 后 ,这 个 组 件 对 %3f 进行 解码 ， 
把 它 解释 为 查询 字符 串 的 开始 部 分 ,并 发 现 得 到 的 基础 URL 不 是 一 个 JSP 文件 ,于 是 它 返 
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回 目录 列表 , 详 见 www. securityfocus. com/bid/3592, 

2) Microsoft IIS Unicode 路 径 遍 历 漏洞 

Microsoft IIS 服务 器 中 的 两 个 相关 漏洞 分 别 于 2000 年 与 2001 年 被 发 现 。 为 防止 路 径 
遍历 攻击 ,IIS 在 包含 “点 一 点 一 斜 线 "序列 的 请 求 中 查找 它 的 字面 量 与 URL 编码 形式 。 如 
果 某 个 请 求 中 没有 这 些 表达 式 ,IIS 服务 器 就 会 接受 这 个 请 求 ,然后 做 进一步 处 理 。 但 是 ， 
接 下 来 ,服务 器 对 被 请 求 的 URL 进行 了 额外 的 规范 化 处 理 , 使 得 攻击 者 能 够 避 开 过 滤 , 让 
服务 器 处 理 遍 历 序列 。 

在 第 一 个 漏洞 中 ,攻击 者 可 以 提交 “点 一 点 一 斜 线 ”序列 的 各 种 非法 Unicode 编码 形式 ， 
如 .. %c0%af。 这 个 表达 式 与 IIS 的 前 沿 过 滤器 Cupfront filter) 并 不 匹配 ,但 随后 的 处 理 过 
程 接受 这 种 非法 编码 ,并 将 它 转换 成 一 个 字面 量 遍 历 序列 。 这 使 得 攻击 者 能 够 侵入 Web 根 
目录 以 外 的 目录 ,并 使 用 下 面 的 URL 执行 任意 命令 : 


https://wahh- app.coam/scripts/ 5 c0% af.% cob af.% cob af ./winnt/sustem32/amd.exe?/c * dir* c:\ 


在 第 二 个 漏洞 中 ,攻击 者 可 以 提交 “点 一 点 一 斜 线 ”序列 的 双重 编码 形式 ,如 .. %255c。 
同样 ,这 个 表达 式 也 与 TIS 的 过 滤器 不 相 匹 配 ,但 随后 的 处 理 过 程 对 输入 进行 “过 剩 解码 ” 
(superfluous decode) ,而 将 其 转换 成 一 个 字面 量 遍 历 序 列 。 这 样 ,攻击 者 就 可 以 使 用 下 面 
的 URL 实施 另 一 次 攻击 : 

https: //wahh- app. con/scripts/.5 255c.% 255c.& 255c.% 255c.% 255c.% 255cwinnt/system32/amd. exe?/c * dir * 

ex 

详细 情况 可 以 访问 以 下 网 址 : 

Www.microsoft .om/technet/security/bulletin/MS00- 078.mspx 

Www.microsoft .om/technet/security/bulletin/MS01- 026. mspx 

3) 避 开 Oracle PL/SQL 排除 列表 

前 面 提 到 ,可 通过 Oracle 的 PL/SQL 网 关 访 问 和 危险 默认 功能 。 为 解决 这 个 问题 ， 
Oracle 创建 了 PL/SQL 排除 列表 (Exclusion List), 它 阻止 攻击 者 访问 以 某 些 表达 式 ( 如 
OWA 与 SYS) 开 头 的 包 。 

2001 年 以 来 ,David Litchfield 发 现 了 一 系列 避 开 PL/SQL 排除 列表 的 方法 。 在 第 一 
个 漏洞 中 ,在 包 名 称 前 插入 空白 符 ( 如 换行 符 、 空 格 或 制 表 符 ) 即 可 避 开 过 滤 。 例 如 : 


https://wahh- app.cam/pls/dad/% OASYS .package .procedure 

这 个 URL 可 避 开 过 滤 ,由 于 后 端 数据 库 忽略 空白 符 , 因 此 危险 的 包 得 以 执行 。 在 第 二 
个 漏洞 中 ,用 代表 字符 5 的 %FF 替代 字母 Y, 即 可 避 开 过 滤 。 例 如 : 

https://wahh- app.cam/pls/dad/S% FFS .package procedure 

这 个 URL 可 避 开 过 滤 , 后 端 数据 库 对 字符 进行 规范 化 处 理 , 将 其 恢复 到 标准 的 字母 
Y, 从 而 调用 危险 的 包 。 在 第 三 个 漏洞 中 ,用 双 引 号 包含 一 个 被 阻止 的 表达 式 即 可 避 开 


https://wahh- app.cam/pls/dad/"SYS" .package.procedure 


第 5 章 Internet 安全 技术 


这 个 URL 可 避 开 过 滤 , 后 端 数据 库 接受 被 引用 的 包 名 称 ,意味 着 它 可 调用 危险 的 包 。 
在 第 四 个 漏洞 中 ,使 用 尖 括 号 在 被 阻止 的 表达 式 前 放置 一 个 编程 的 goto 标签 , 即 可 避 开 
过 滤 : 


https://wahh- app.cam/pls/dad/«« FOO>> SYS .package .prooedure 


这 个 URL 可 避 开 过 滤 , 后 端 数据 库 忽略 goto 标签 ,使 得 危险 的 包 得 以 执行 。 

由 于 前 端 过 滤 由 一 个 组 件 根据 简单 的 文本 模式 匹配 执行 ,而 随后 的 处 理 过 程 却 由 另 一 
个 组 件 执行 ,并 且 它 们 按照 自己 的 规则 解释 输入 的 句法 与 语法 意义 ,因而 造成 了 以 上 各 种 漏 
洞 。 这 两 组 规则 之 间 的 任何 差异 都 可 能 会 被 攻击 者 利用 ,提交 与 过 滤器 所 使 用 模式 不 相 匹 
配 的 输入 ,但 数据 库 却 按 攻 击 者 希望 的 方式 解释 这 个 输入 ,调用 危险 的 包 。 由 于 Oracle 数 
据 库 的 功能 极其 强大 ,因而 这 种 差异 大 量 存 在 。 

访问 以 下 网 站 可 以 了 解 详细 情况 ,并 可 参阅 文献 [11]。 


ww.securityfocus.com/archive/1/423819/100/0/threaded 


4. 查找 Web 服务 器 漏洞 

渗透 测试 员 会 在 所 针对 的 Web 服务 器 中 找到 本 章 描 述 的 一 些 漏洞 。 然 而 ,它们 很 可 能 
已 经 升级 到 最 新 的 版 本 ,渗透 测试 员 需 要 查找 一 些 当 前 或 最 新 的 漏洞 ,利用 它们 攻击 服 
务 顺 。 

在 Web 服务 器 等 非 定 制 产品 中 查找 漏洞 时 ,使 用 一 款 自 动 化 扫描 工具 是 一 个 不 错 的 起 
点 。 与 Web 应 用 程序 这 些 定制 产品 不 同 ,几乎 所 有 的 Web 服务 器 都 使 用 第 三 方 软件 ,并且 
有 无 数 用 户 已 经 以 相同 的 方式 安装 和 配置 了 这 些 软件 。 在 这 种 情况 下 ,使 用 自动 化 扫描 器 
发 送 大 量 专 门 设计 的 请 求 并 监控 表示 已 知 漏洞 的 签名 ,就 可 以 迅速 、 高 效 地 确定 最 明显 的 漏 
il. Nessus 是 一 款 优良 的 免费 漏洞 扫描 器 ,还 有 各 种 商业 扫描 器 可 供 使 用 ,如 Typhon 
与 ISS。 

除 使 用 扫描 工具 外 ,渗透 测试 员 还 浏览 Security Focus, 邮件 列表 Bugtrap 和 Full 
Disclosure 等 资源 ,在 目标 软件 上 查找 所 有 最 近 发 现 的 、 尚 未 修复 的 漏洞 信息 。 

还 要 注意 ,一 些 Web 应 用 程序 产品 中 内 置 了 一 个 开源 Web 服务 器 ,如 Apache 或 
Jetty。 因 为 管理 员 把 服务 器 看 成 他 们 所 安装 的 应 用 程序 ,而 不 是 他 们 负责 的 基础 架构 的 一 
部 分 ,所 以 这 些 捆绑 服务 器 的 安全 更 新 也 应 用 得 相对 较为 缓慢 。 而 且 , 在 这 种 情况 下 ,标准 
的 服务 标题 也 已 被 修改 。 因 此 ,对 所 针对 的 软件 进行 手动 测试 与 研究 ,可 以 非常 有 效 地 确定 
自动 化 扫描 工具 无 法 发 现 的 漏洞 。 

如 有 可 能 ,渗透 测试 员 应 该 考虑 在 本 地 安装 所 攻击 的 软件 ,并 自己 进行 测试 ,查找 任何 
尚未 发 现 或 广泛 流传 的 新 漏洞 。 


5.3.2 如 何在 Web 上 提高 系统 安全 性 和 稳定 性 


从 某 种 程度 上 讲 , 部 署 第 三 方 Web 服务 器 产品 的 组 织 的 命运 掌握 在 软件 供应 商 手 中 。 
然而 ,具有 安全 意识 的 组 织 仍然 可 以 采取 大 量 有 用 的 措施 保护 自己 , 避 开 本 章 描述 的 各 种 软 
件 漏洞 。 

1. 选择 记录 良好 的 软件 

并 非 所 有 软件 产品 与 供应 商都 提供 同等 优良 的 服务 。 分 析 几 种 不 同 的 服务 器 产品 的 最 
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近 历 史 可 以 发 现 ,在 产品 存在 的 严重 漏洞 数量 ,供应 商 修复 这 些 漏洞 是 否 及 时 ,以 及 发 布 的 
补丁 在 随后 测试 过 程 中 表现 的 适应 性 等 方面 存在 着 明显 的 差异 。 在 选择 部 署 何 种 Web 服 
务 器 软件 之 前 ,应 该 研究 这 些 差异 ,并 考虑 如 果 所 在 的 组 织 采 用 了 选择 的 软件 , 它 在 近 几 年 
将 会 如 何 运转 。 

2. 应 用 供应 商 发 布 的 补丁 

任何 有 责任 的 软件 供应 商 必须 定期 发 布 安全 更 新 。 有 时 ,这 些 补丁 能 够 解决 供应 商 自 
身 在 内 部 发 现 的 问题 ;在 其 他 情况 下 ,软件 问题 由 一 名 独立 研究 员 上 报 , 但 我 们 无 法 确定 他 
是 否 保留 了 一 些 信息 。 其 他 漏洞 因为 被 攻击 者 广泛 利用 ,因而 引起 供应 商 的 注意 。 但 是 ,无 
论 是 上 述 哪 一 种 情况 ,一旦 供应 商 发 布 补丁 ,任何 强大 的 逆向 工程 方法 都 能 立即 查 明 它 所 解 
决 的 问题 所 在 ,使 得 攻击 者 能 够 着 手 设计 利用 这 个 问题 的 攻击 。 因 此 ,如 果 可 行 ,应 尽 可 能 
及 时 地 应 用 安全 补丁 。 

3. 实施 安全 强化 

大 多 数 Web 服务 器 都 拥有 大 量 的 配置 选项 ,可 控制 激活 哪些 功能 ,同时 控制 它们 的 运 
行 状态 。 如 果 无 用 的 功能 (如 默认 ISAPI 扩展 ) 仍 然 被 激活 ,那么 只 要 攻击 者 在 这 项 功能 中 
发 现 新 的 漏洞 ,服务 器 就 会 受到 严重 的 攻击 威胁 。 用 户 应 该 查阅 与 所 使 用 的 软件 有 关 的 强 
化 指南 ,同时 还 应 考虑 采用 以 下 这 些 常用 的 强化 步 又。 

(1) 禁用 任何 不 需要 的 内 置 功能 ,配置 剩 下 的 功能 尽 可 能 严格 地 运行 ,与 商业 需求 保持 
一 致 。 这 包括 删除 映射 的 文件 扩展 名 、Web 服务 器 模块 和 数据 库 组 件 。 可 以 使 用 IIS 
Lockdown 等 工具 迅速 完成 这 项 任务 。 

(2) 可 以 对 需要 保留 的 许多 功能 与 资源 进行 重 命名 ,为 防止 攻击 者 利用 它们 实施 另 一 
层 障 碍 。 即 使 技术 熟练 的 攻击 者 仍然 能 够 发 现 重 命名 后 的 名 称 ,但 这 种 模糊 处 理 可 以 阻止 
攻击 者 新 手 与 自动 化 蠕虫 。 

G) 在 整个 技术 栈 中 应 用 最 低 权限 原则 。 例 如 ,应 配置 Web 服务 器 进程 使 用 最 低 权 限 
的 操作 系统 账户 。 还 可 以 在 UNIX 系统 上 使 用 chrooted 环境 进一步 限制 任何 攻击 的 影响 
范围 。 

4. 监控 新 的 漏洞 

应 指派 一 名 组 织 职员 负责 监控 Bugtraq 与 Full Disclosure 等 资源 ,查找 与 所 使 用 的 软 
件 中 新 发 现 的 漏洞 有 关 的 公告 与 讨论 。 还 可 以 预订 各 种 私人 服务 ,由 他 们 提供 软件 中 已 经 
发 现 但 尚未 公开 披露 的 最 新 漏洞 通知 。 通 常 , 如 果 了 解 与 某 个 漏洞 有 关 的 技术 细节 ,就 可 以 
在 供应 商 发 布 完整 的 补丁 前 ,有 效 地 修改 这 个 漏洞 。 

5. 使 用 深层 防御 

应 该 始终 实施 几 层 保护 ,减轻 基础 架构 组 件 中 的 任何 违反 安全 措施 所 造成 的 影响 。 可 
以 采取 各 种 措施 ,将 针对 Web 服务 器 的 成 功 攻击 的 影响 限制 在 局 部 范围 内 。 即 使 Web 服 
务 器 被 完全 攻破 ,这 些 措 施 也 让 用 户 有 足够 的 时 间 防 止 严重 的 数据 泄露 。 

可 以 限制 Web 服务 器 访问 其 他 自治 的 应 用 程序 组 件 。 例 如 ,应 只 允许 应 用 程序 使 用 的 
数据 库 账户 INSERT 访问 用 于 保存 审计 日 志 的 表 ; 这 意味 着 ,即使 攻击 者 攻破 Web 服务 
器 ,他 也 无 法 删除 已 经 创建 的 任何 日 志 记 录 。 

可 以 对 进出 Web 服务 器 的 流量 实施 严格 的 网 络 级 过 滤 。 

可 以 使 用 一 个 人 侵 检测 系统 确定 任何 表明 发 生 安全 违反 的 反常 网 络 活动 。 攻 破 Web 


第 5 € Internet 安全 技术 


服务 器 后 ,许多 攻击 者 会 立即 尝试 建立 反 向 连接 ,侵入 Internet, 或 者 扫描 DMZ 网 络 中 的 其 
他 主机 。 高 效 的 和 人 侵 检测 系统 将 实时 通知 这 些 事件 ,以 便 用 户 采 取 措 施 阻 止 攻击 。 与 Web 
应 用 程序 上 运行 的 其 他 组 件 一 样 ,Web 服务 器 也 是 一 个 受 攻击 的 重点 ,通过 它 攻击 者 可 以 
攻破 整个 应 用 程序 。Web 服务 器 中 的 漏洞 可 使 攻击 者 访问 目录 列表 、 可 执行 页 面 的 源 代 
T ,敏感 配置 和 运行 时 间 数 据 , 并 避 开 输入 过 滤 ,直接 威胁 应 用 程序 的 安全 。 

由 于 存在 着 大 量 各 种 各 样 的 Web 服务 器 产品 与 版 本 ,查找 Web 服务 器 漏洞 往往 需要 
我 们 进行 一 定 程 度 的 探索 与 研究 。 但 是 ,使 用 自动 化 扫描 工具 可 以 迅速 高 效 地 确定 所 攻击 
的 服务 器 的 配置 与 软件 中 的 任何 已 知 漏洞 。 


5.3.3 HTTP 访问 安全 


HTTP 访问 安全 包含 了 访问 控制 .认证 ,授权 等 方面 的 内 容 。 

1. 访问 控制 

访问 控制 意味 着 服务 器 会 基于 用 户 不 能 控制 的 请 求 特性 进行 限制 访问 ,如 通过 IP 地 
址 、. 子 网 或 域名 来 进行 访问 控制 时 ,只 有 当 浏览 器 的 连接 请 求 是 从 某 个 IP 地 址 、IP 子 网 或 
制定 域 来 的 时 候 , 才 允许 被 访问 ,从 其 他 的 未 被 允许 的 IP 地 址 ,IP 子 网 域 发 来 的 请 求 将 被 
拒绝 。 

2. 认证 

身份 认证 意味 着 用 户 要 具有 它 所 声称 的 身份 。HTTP 身份 认证 有 基本 认证 ,摘要 认证 
和 基于 证 书 的 HTTP 认证 方式 。 

HTTP 基本 认证 是 通过 提供 用 户 名 称 和 共享 密码 或 口令 实现 的 ,只 有 当 远 程 用 户 知道 
用 户 名 和 对 应 的 口令 的 时 候 ,才能 被 访问 。 虽 然 基本 认证 方法 在 传输 用 户 名 和 口令 时 采用 
了 Base64 编码 方法 (RFC2045) 进 行 编码 ,但 由 于 Base64 是 一 种 针对 二 进 制 字 节 流 到 可 打 
印字 符 流 的 编码 方法 ,而 不 是 一 种 基于 密 钥 的 变换 方法 ,因此 ,基本 认证 方法 实际 上 是 将 用 
户 名 和 口令 以 明文 形式 进行 传送 ,因而 Basic 认证 方法 是 一 种 不 安全 的 认证 方法 。 

摘要 认证 是 由 于 基本 认证 被 认为 是 不 安全 的 认证 方式 ,摘要 认证 作为 替代 方案 被 制定 
了 出 来 。 摘 要 认证 中 ,用 户 名 和 密码 不 会 以 明文 方式 传送 ,而 是 经 过 了 加 密 。 从 名 称 可 以 看 
出 ,是 生成 了 信息 摘要 ,客户 端 和 服务 器 使 用 各 自 的 密码 以 同样 的 算法 生成 信息 摘要 ,两 者 
比较 即 可 判断 客户 端的 密码 是 否 正确 。 

摘要 认证 作为 基本 认证 的 替代 方案 。 因 为 它 本 身 也 不 是 十 分 安全 的 ,也 存在 一 些 弱点 。 
如 摘要 认证 只 能 作为 权限 认证 机 制 , 并 非 保密 措施 ,因为 消息 体 并 没有 被 加 密 。 攻 击 者 还 可 
以 截取 一 次 摘要 信息 ,然后 利用 相同 的 摘要 信息 请 求 相同 的 URI 进行 重 放 攻击 。 

基于 证 书 的 认证 方法 的 特点 是 ,浏览 器 与 Web 服务 器 之 间 要 经 过 一 个 握手 的 过 程 来 完 
成 身份 鉴定 与 密 钥 交换 ,实现 在 SSL 上 执行 双向 认证 ,从 而 建立 安全 连接 。 其 同时 保证 了 
数据 传输 过 程 中 的 保密 性 ,数据 完整 性 以 及 不 可 抵赖 性 。 这 是 几 种 认证 方式 中 最 安全 的 认 
证 方式 ( 详 见 2.5 节 )。 

3. 授权 

授权 通常 发 生 在 认证 之 后 。 一 旦 用 户 认证 通过 , 则 只 能 说 明 它 具有 合法 的 身份 ,但 并 不 
意味 着 它 就 具有 对 特定 资源 访问 的 权限 。 对 于 服务 器 中 的 一 些 特殊 的 资源 ,管理 员 通 常会 
严格 限制 访问 。 如 Apache 服务 器 通过 解析 全 局 及 本 地 的 配置 文件 (. htaccess) 来 决定 用 户 
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的 授权 身份 。 如 果 用 户 正在 请 求 自己 没有 访问 权限 的 页 面 ,就 可 能 只 通过 认证 阶段 而 通 不 
过 授权 阶段 。 从 用 户 角度 来 看 ,不 能 获得 授权 类 似 于 不 能 获得 认证 : 浏览 器 都 会 要 求 他 们 
再 次 输入 用 户 名 和 密码 。 


5.4 电子 邮件 安全 技术 


随 着 电子 邮件 的 普及 和 应 用 ,伴随 而 来 的 电子 邮件 安全 方面 问题 也 越 来 越 多 的 引起 人 
们 的 关注 。 人 们 已 经 认识 到 电子 邮件 用 户 所 面临 的 安全 性 风险 变 得 日 益 严 重 。 病 毒 .是 虫 、 
垃圾 邮件 、 网 页 仿 骨 欺诈 间谍 软件 和 一 系列 更 新 ,更 复杂 的 攻击 方法 ,使 得 电子 邮件 通信 和 
电子 邮件 基础 结构 的 管理 成 为 了 一 种 更 加 具有 风险 的 行为 。 本 节 就 面临 的 安全 问题 提出 解 
决 方案 。 


5.4.1 电子 邮件 面临 的 安全 问题 


电子 邮件 安全 问题 主要 包括 两 个 方面 : 一 是 电子 邮件 服务 器 的 安全 ,包括 网 络 安全 以 
及 如 何 从 服务 器 端 防范 和 杜绝 垃圾 邮件 ,病毒 邮件 和 钓鱼 邮件 等 ,这 些 是 电子 邮件 服务 的 基 
本 要 求 ;二 是 如 何 确 保 电 子 邮件 用 户 的 电子 邮件 内 容 不 会 被 非法 窃取 ,非法 算 改 和 如 何 防止 
非法 用 户 登录 合法 用 户 的 电子 邮件 账号 。 本 节 列 举 几 种 电子 邮件 最 常见 危害 。 

1. 恶意 代码 

恶意 代码 是 一 种 程序 程序 , 它 通 过 把 代码 在 不 被 察觉 的 情况 下 骨 入 到 正常 程序 中 ,从 而 
达到 破坏 被 感染 计算 机 数据 、 运 行 具 有 和信 侵 性 或 破坏 性 的 程序 ,破坏 被 感染 计算 机 数据 的 安 
全 性 和 完整 性 的 目的 。 

病毒 是 一 种 恶意 代码 ,没有 网 络 的 时 代 , 病 毒 在 一 台 计 算 机 上 ,破坏 可 执行 程序 ,破坏 文 
件 定位 表 , 破 坏 数 据 信 息 , 并 通过 依附 在 软盘 中 的 程序 ,传播 到 另 一 台 计 算 机 中 。 网 络 的 发 
展 给 计算 机 病毒 制造 者 提供 了 巨大 的 空间 ,使 病毒 有 机 会 感染 每 个 连接 到 该 网 络 中 的 资源 。 
很 多 病毒 在 侵 和 人 计算 机 后 都 会 自动 向 外 发 送 带 毒 邮件 ,用 户 打 开 这 些 邮 件 后 就 会 感染 病毒 。 

“木马 ”和 普通 病毒 不 一 样 , 它 分 为 服务 器 端 和 客户 端 , 当 服 务 器 端 软件 安装 到 被 攻击 者 
的 计算 机 ,并 连接 网 络 后 ,攻击 者 就 可 以 用 客户 端 软件 对 被 攻击 者 主机 进行 监控 。 其 原理 是 
用 邮件 将 服务 器 端 软 件 以 附件 的 方式 发 送出 去 , 收 信 人 打开 邮件 附件 就 会 感染 木马 。 

恶意 代码 对 电子 邮件 的 危害 极 大 ,目前 80% 以 上 的 计算 机 病毒 是 借助 电子 邮件 进行 传 
播 的 ,这 一 比例 还 呈现 出 上 升 的 趋势 。 病 毒 的 传输 还 非常 隐蔽 ,如 W32. Gibe@mm 蠕虫 是 
以 附件 的 形式 到 达 计 算 机 的 , 它 宣称 自己 是 一 个 叫做 Q216309. exe 的 Microsoft 安全 更 新 
文件 。 奥 名 昭著 的 LoveLetter 蠕虫 是 通过 名 为 LOVE-LETTER-FOR-YOU. TXT. vbs 的 
附件 来 传播 的 ,这 个 文件 初 看 上 去 像 是 我 们 非常 熟悉 的 . txt 文件 ,但 是 最 后 的 扩展 名 才 是 
程序 真正 的 文件 类 型 。VBS. SST@mm 就 宣称 含有 著名 网 球 女 明星 安娜 ， 库 尔 尼 科 娃 的 
图 片 等 。 所 以 应 该 对 预料 之 外 的 附件 保持 警惕 ,无 论 该 附件 来 自 何 处 。 即 使 看 上 去 像 是 某 
个 熟悉 并 可 靠 的 联系 人 发 送 的 。 无 论 附 件 的 来 源 是 什么 ,除非 它 通过 了 最 新 的 反 病毒 程 序 
检查 ;否则 ,不 要 在 电子 邮件 程序 中 运行 或 打开 该 附件 。 

2. 垃圾 邮件 

垃圾 邮件 又 称 为 未 被 请 求 的 商业 电子 邮件 ,是 一 种 用 户 没 有 请 求 却 被 动 接收 的 电子 邮 
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TE ,一 般 会 试图 向 用 户 推销 一 些 商品 或 带 有 反动 等 信息 ,其 往往 含有 虚假 的 信息 源 、 发 件 人 、 
路 由 信息 。 据 有 关 统 计 表 明 ,中 国 网 民 每 年 收 到 的 电子 邮件 500 亿 封 ,其 中 60% 以 上 为 垃 
圾 邮件 。 全 球 有 超过 50 万 起 信用 卡 盗用 案件 是 由 垃圾 邮件 引起 的 。 当 某 些 垃圾 邮件 恰巧 
命中 了 某 目 标 用 户 ,并 且 该 用 户 被 垃圾 邮件 内 容 所 吸引 时 ,信件 内 文中 的 链接 就 会 将 用 户 链 
接 到 某 一 网 站 , 当 人 们 输入 信用 卡号 时 ,就 会 收 到 一 些 代 人 垫付 的 账单 。 对 付 垃 圾 邮件 最 有 
效 的 办 法 就 是 采取 邮件 过 滤 技 术 。 垃 圾 邮件 不 但 让 用 户 受到 危害 ,而 且 还 占用 带宽 等 资源 ， 
导致 系统 运行 缓慢 ,甚至 出 现 瘫痪 的 情况 。 

3. 窃取 和 算 改 

当 电 子 邮 件 从 一 个 网 络 传 到 另 一 个 网 络 中 时 ,其 内 容 都 是 可 读 写 的 明文 ,邮件 内 容 很 容 
易 被 窃取 和 算 改 。 多 数 用 户 的 邮件 在 Internet 上 传输 时 不 采取 任何 安全 措施 。 没 有 安全 措 
施 的 邮件 很 容易 被 别有用心 者 盗用 ,从 事 非法 活动 。 并 且 常 用 的 电子 邮件 Web 方式 登录 也 
是 采用 简单 的 用 户 名 /密码 方式 认证 ,使 得 非常 容易 被 非法 获得 而 伪造 合法 身份 登录 电子 邮 
件 账 号 来 查阅 电子 邮件 和 发 送 电 子 邮 件 。 以 上 严重 问题 并 没有 得 到 电子 邮件 服务 提供 商 足 
够 的 重视 和 采取 相应 的 技术 措施 。 


5.4.2 电子 邮件 的 安全 措施 


在 我 国 现行 社会 经 济 交 易 过 程 中 ,经 济 信息 ,资金 都 要 通过 网 络 传输 ,交易 双方 的 身份 
也 是 通过 网 络 进行 认证 的 。 电 子 邮件 作为 电子 商务 重要 的 网 络 通信 方式 ,使 得 其 安全 性 更 
加 得 到 人 们 的 关注 。 可 从 以 下 几 个 方面 解决 电子 邮件 安全 性 问题 。 

1. 邮件 过 滤 技 术 

邮件 过 滤 技 术 能 很 好 地 解决 垃圾 邮件 问题 ,邮件 过 滤 技术 分 为 启发 式 和 合作 式 两 种 。 
由 于 电子 邮件 一 般 都 有 几 个 重要 特征 ,如 标准 电子 邮件 地 址 (包括 收发 件 人 邮箱 名 、 收 发 人 
邮箱 服务 器 IP 地 址 或 域名 ) ,主题 ,信件 内 容 ( 包 括 正文 .关键 字 、 附 件 ) 等 相关 字段 ,这 些 特 
征 是 邮件 过 滤 技术 判断 ` 分 析 、` 统 计 和 提取 的 重要 依据 。 邮 件 过 滤 技 术 也 有 弊端 ,存在 一 定 
的 局 限 性 和 随机 性 ,有 可 能 将 正常 邮件 过 滤 掉 ,这 就 促使 人 们 在 过 滤 技术 中 增加 更 多 的 智能 
分 析 功 能 。 启 发 式 过滤 技 术 可 以 根据 其 来 源 特征 进行 过 滤 ,可 以 在 邮件 完全 提交 之 前 就 进 
行 阻 断 ,能 够 有 效 保护 网 络 资源 。 合 作 式 过 滤 技 术 主 要 通过 对 邮件 进行 签名 来 防止 垃圾 邮 
件 ,通过 分 布 在 各 地 的 防 垃圾 邮件 代理 对 垃圾 邮件 进行 实时 的 判断 和 签名 ,利用 各 个 防 垃圾 
邮件 网 关 的 协同 工作 减少 垃圾 邮件 。 启 发 式 和 合作 式 技术 都 能 够 对 邮件 来 源 和 内 容 进 行 过 
滤 。 一 方面 针对 邮件 的 头 部 进行 检查 ,将 主题 ,发 送 域 和 发 送 者 等 不 符合 要 求 的 邮件 予以 删 
除 ; 另 一 方面 采用 关键 字 匹 配方 法 ,可 以 将 内 容 不 符合 要 求 的 邮件 予以 删除 。 

2. 邮件 病毒 查 杀 

可 以 在 邮件 服务 器 上 安装 防 病毒 软件 , 查 杀 进出 该 邮件 服务 器 的 邮件 病毒 。 基 于 电子 
邮件 服务 器 的 防 病毒 软件 被 装 到 电子 邮件 服务 器 上 后 ,可 以 实时 搜索 输入 和 输出 的 电子 邮 
件 中 的 病毒 信息 。 这 类 产品 通常 具有 向 发 送 者 或 接收 者 发 送 定制 病毒 通知 的 能 力 ,并 且 按 
照 主题 文件 附件 或 邮件 正文 进行 内 容 过 滤 。 但 是 对 于 高 负荷 运行 的 邮件 系统 来 说 , 查 杀 病 
毒 任务 的 引入 ,会 加 重 邮 件 服务 器 的 负荷 .使 之 分 出 宝贵 的 系统 资源 用 来 支持 查 病 毒 引擎 的 
工作 ,难免 会 造成 相当 程度 的 延 时 和 错误 。 同 时 ,邮件 系统 是 企业 网 络 的 核心 服务 器 ,在 核 
心服 务 器 上 安装 和 凶 载 软件 都 是 有 相当 风险 的 。 安 装 在 邮件 服务 器 之 前 的 防 病毒 网 关 , 能 
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够 将 带 毒 邮件 拦截 在 网 关 之 外 ,有 力 地 保护 邮件 系统 。 防 病毒 网 关 的 共同 特征 是 在 数据 通 
过 HTTP,FTP fil SMTP 协议 传输 时 能 够 对 数据 进行 扫描 。 在 邮件 病毒 大 规模 爆发 时 , 防 
病毒 网 关 能 够 大 大 减轻 邮件 系统 的 压力 ,使 邮件 系统 免 于 崩溃 。 

3. 数据 加 密 和 数字 签名 

数据 加 密 和 数字 签名 能 很 好 地 解决 了 电子 邮件 的 安全 传输 问题 。 目 前 国际 上 有 两 大 类 
流行 的 邮件 安全 系统 加 密 标准 : 端 到 端的 安全 邮件 标准 PGPCPretty Good Privacy) 和 传输 
层 安全 邮件 标准 S/MIME(Secure/Multipurpose Internet Mail Extensions). PGP 通过 单 
向 散 列 算法 对 邮件 内 容 进 行 签名 ,可 以 保证 信件 内 容 不 被 修改 ,并 且 信 任 是 双方 的 直接 关 
系 。S/MIME 是 一 种 利用 单 向 散 列 算法 和 公 钥 与 私 钥 的 加 密 体系 ,但 它 有 两 点 和 PGP 不 
I]: 一 是 S/MIME 的 认证 机 制 依赖 于 层次 结构 的 证 书 认 证 机 构 , 所 有 下 一 级 组 织 和 个 人 证 
书 由 上 一 级 组 织 负责 认证 ,最 上 一 级 组 织 ( 根 证 书 ) 之 间 则 可 相互 认证 ;二 是 S/MIME 将 信 
件 内 容 加 密 签 名 后 作为 特殊 的 附件 传送 。PGP 和 S/MIME 都 采用 了 混合 算法 , 即 被 发 送 
邮件 的 内 容 采 用 对 称 加 密 算 法 进行 加 密 , 加 密 邮 件 内 容 的 密 钥 则 采用 公共 加 密 算法 加 密 后 
进行 传递 。 需 要 指出 的 是 ,使 用 公 钥 和 私 钥 技术 保证 邮件 内 容 保 密 而 且 不 可 和 否认 ,因为 发 信 
人 与 收 信人 的 公 钥 都 是 公开 的 , 公 钥 的 权威 性 则 可 以 由 第 三 方 进行 签名 认证 。 

在 现 有 的 加 密 密 钥 体制 中 ,比较 突出 的 问题 是 公开 密 钥 的 安全 获取 问题 。 而 解决 这 个 
问题 的 手段 ,就 是 采用 PKI(Public Key Infrastructure) 技 术 。PKI 技术 就 是 由 发 布 机 构 发 
布 数据 证 书 给 PKI 用 户 ,该 证 书 中 含有 用 户 公共 密 钥 和 个 人 密 钥 的 信息 ,由 证 书 、 证 书 授权 
机 构 CA 和 实体 三 部 分 组 成 。PKI 用 户 可 以 利用 个 人 密 钥 签 发 信息 或 解密 收 到 的 信息 ,而 
其 他 用 户 则 使 用 对 应 公共 密 钥 收发 信息 。 基 于 PKI 的 设计 ,采用 统一 的 证 书 分 配 、 管 理 策 
略 以 及 共同 的 可 靠 性 验证 机 制 , 既 可 以 保证 电子 邮件 的 安全 性 ,还 可 以 解决 现 有 不 同系 统 无 
法 进行 通信 的 缺陷 。 因 此 ,优秀 的 电子 邮件 系统 通常 都 是 基于 PKI 进行 设计 的 数据 加 密 只 
能 保证 邮件 的 机 密 性 , 却 不 能 完全 保证 邮件 的 完整 性 和 不 可 抵赖 性 , 即 不 能 保证 邮件 在 传输 
过 程 中 不 被 他 人 自 改 和 不 被 人 冒名 顶替 发 送 。 数 字 签 名 可 以 有 效 解 决 上 述 问题 ,在 发 送 电 
子 邮件 的 同时 ,加 上 一 个 Hash 宛 余 信息 ,作为 发 送 者 的 签名 。 发 送 者 使 用 Hash 函数 创建 
信息 的 摘要 ,作为 信息 数字 指纹 ,然后 用 个 人 密 钥 加 密 信 息 摘要 ,形成 数字 指纹 ,用 于 身份 
识别 。 


5.5 Telnet 安全 技术 


Telnet 的 应 用 不 仅 方便 了 用 户 进 行 远程 登录 ,也 给 黑客 们 提供 了 又 一 种 人 侵 手 段 和 
后 门 。 


5.5.1 Telnet 安全 性 分 析 


Telnet 服务 虽然 也 属于 客户 /服务 器 模型 的 服务 ,但 它 更 大 的 意义 在 于 实现 了 基于 
Telnet 协议 的 远程 登录 (远程 交互 式 计算 ) ,下 面 就 介绍 一 下 远程 登录 。 

l. 远程 登录 的 基本 概念 

分 时 系统 允许 多 个 用 户 同时 使 用 一 台 计 算 机 ,为 了 保证 系统 的 安全 和 记 账 方便 ,系统 要 
求 每 个 用 户 有 单独 的 账号 作为 登录 标识 ,系统 还 为 每 个 用 户 指定 了 一 个 口令 。 用 户 在 使 用 


第 5 € Internet 安全 技术 


该 系统 之 前 要 输入 标识 和 口令 ,这 个 过 程 被 称 为 “登录 ”。 

远程 登录 是 指 用 户 使 用 Telnet 命令 ,使 自己 的 计算 机 暂时 成 为 远程 主机 的 一 个 仿真 终 
端的 过 程 。 仿 真 终端 等 效 于 一 个 非 智能 的 机 器 , 它 只 负责 把 用 户 输入 的 每 个 字符 传递 给 主 
机 ,再 将 主机 输出 的 每 个 信息 回 显 到 屏幕 上 。 

2. 远程 登录 的 工作 过 程 

使 用 Telnet 协议 进行 远程 登录 时 需要 满足 以 下 条 件 : 在 本 地 计算 机 上 必须 装 有 包含 
Telnet 协议 的 客户 程序 ;必须 知道 远程 主机 的 IP 地 址 或 域名 ;必须 知道 登录 标识 与 口令 。 

Telnet 远程 登录 服务 分 为 以 下 3 个 过 程 : 

CD 本 地 与 远程 主机 建立 连接 。 该 过 程 实际 上 是 建立 一 个 TCP 连接 ,用 户 必须 知道 远 
程 主机 的 IP 地 址 或 域名 。 

(2) 将 本 地 终端 上 输入 的 用 户 名 和 口令 及 以 后 输入 的 任何 命令 或 字符 以 NVT(Net 
Virtual Terminal) 格 式 传送 到 远程 主机 。 该 过 程 实际 上 是 从 本 地 主机 向 远程 主机 发 送 一 个 
IP 数据 包 , 且 数据 包 是 明文 方式 在 向 服务 器 端 传送 。 

(3) 将 远程 主机 输出 的 NVT 格式 的 数据 转化 为 本 地 所 接受 的 格式 送 回 本 地 终端 ,包括 
输入 命令 回 显 和 命令 执行 结果 。 

上 面 的 内 容 只 是 讨论 了 远程 登录 最 基本 的 原理 。 

3. Telnet 协议 安全 

Telnet 是 基于 字符 的 网 络 协议 ,其 登录 过 程 需要 进行 用 户 的 身份 认证 ,仿佛 是 安全 的 
服务 。 其 实 ,Telnet 存在 着 严重 的 安全 隐患 ; 

CD 所 有 的 数据 (包括 用 户 的 口令 和 整个 Telnet 会 话 过 程 ) 在 传输 过 程 中 都 没有 任何 
加 密 措施 ,很 容易 被 第 三 方 利用 网 络 嗅 探 工具 捕获 ,进而 受到 攻击 。 

(2) Telnet 没有 用 户 的 强身 份 认证 措施 ,攻击 者 可 以 对 每 个 账户 的 Telnet 口令 进行 任 
意 次 的 猜测 攻击 。Telnet 本 身 并 不 记录 猜测 的 次 数 , 尽 管 这 些 错误 的 猜测 将 被 记录 在 日 志 
文件 中 。 

(3) Telnet 本 身 不 进行 会 话 完 整 性 检查 ,由 于 数据 全 部 是 明文 传输 ,容易 被 非法 算 改 。 

(4) Telnet 可 能 会 泄露 一 些 系统 信息 ,这 方便 了 黑客 的 攻击 。 如 Telnet 可 用 于 迅速 判 
断 目标 是 真实 域 还 是 虚拟 域 。 这 一 点 可 以 帮助 入 侵 者 确切 地 出 判断 出 要 获取 用 户 的 资源 应 
该 人 侵 哪 一 台 机 器 。 

(5) Telnet 在 快速 判断 某 特 定 端口 是 否 打开 以 及 服务 器 上 是 否 运行 着 特定 程序 方面 也 
是 一 个 强大 的 工具 。Telnet 本 身 也 是 用 来 进行 服务 拒绝 式 攻 击 的 有 力 武器 。 例 如 ,我 们 可 
以 通过 命令 “Telnet 192. 168. 18. 1 25” 直 接 在 端口 25 上 连接 SMTP 服务 器 ,并 在 服务 器 上 
使 用 SMTP 命令 检查 服务 器 的 工作 状况 。 原 因 是 虽然 Telnet 最 基本 的 功能 是 远程 终端 访 
问 , 但 大 多 数 Telnet 客户 端 程序 都 具有 支持 以 任意 端口 来 访问 基于 文本 的 TCP 服务 的 能 
力 。 实 际 上 它 是 在 某 个 端口 上 建立 一 个 简单 的 TCP 连接 。 因 此 ,Telnet 客户 端 程序 并 不 一 
定 使 用 Telnet 协议 ,除非 它 连接 到 服务 器 的 Telnet 端口 (端口 号 23) 。 

由 此 可 以 看 出 Telnet 有 众多 漏洞 .所 以 ,Telnet 被 很 多 人 认为 是 远程 访问 本 地 计算 机 
系统 最 危险 的 服务 之 一 。 
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5.5.2. 保障 Telnet 安全 的 策略 分 析 


Telnet 面临 的 主要 安全 问题 包括 使 用 者 认证 、 数 据 传送 保密 、 防 范 针 对 Telnet 的 攻击 
等 。Telnet 本 身 没有 很 好 的 保护 机 制 . 所 以 要 借助 其 他 外 部 的 保护 ,如 可 以 将 Telnet, t JH 
者 认证 ,加 密 等 技术 工具 相 结 合 , 提 供 严 格 的 防护 。 针 对 一 些 Telnet 漏洞 下 面 介 绍 几 种 保 
障 Telnet 的 安全 策略 。 

1. 对 使 用 者 认证 

严格 的 用 户 身 份 认 证 机 制 ,能 有 效 地 确认 登录 服务 器 的 用 户 , 防 止 非法 用 户 的 入侵 ,是 
保障 Telnet 安全 的 基本 措施 ,目前 用 于 Telnet 常见 的 认证 方式 有 以 下 几 种 : 

* KERBEROS V4; 使 用 Kerberos_v4。 

* KERBEROS V5; 使 用 Kerberos_v5。 
SPX: 使 用 SPX。 
RSA: 使 用 RSA 公 钥 私 钥 认证 。 

* LOKI: 使 用 LOKI。 

2. 数据 传送 加 密 

数据 明文 传输 是 Telnet 最 严重 的 漏洞 ,要 想 构 建安 全 的 Telnet 系统 ,必须 对 传输 的 数 
据 加 密 , 也 就 是 对 Telnet 会 话 进行 加 密 , 让 数据 在 Telnet 会 话 中 安全 传送 的 方法 有 : 

。 使 用 DES、TripleDES、IDEA 的 随机 密 钥 加 密会 话 。 

* 使 用 Diffie-Hellman 进行 密 钥 交换 。 

。 使 用 公 钥 私 钥 加 密 签名 。 

3. 进行 严格 的 访问 控制 和 权限 设置 

由 于 通过 Telnet 工具 能 够 获知 目标 主机 的 操作 系统 类 型 .运行 的 服务 器 以 及 实 域 还 是 
虚拟 域 等 信息 ,所 以 应 该 设 定 严格 的 访问 控制 机 制 和 权限 机 制 保证 信息 的 安全 。 严 格 的 权 
限 设置 保证 了 黑客 即使 使 用 正确 的 用 户 名 和 密码 远程 登录 到 服务 器 ,也 被 控制 在 一 定 的 范 
围 内 ,不 会 对 服务 器 其 他 资源 造成 严重 的 后 果 。 而 严格 访问 控制 机 制 保证 了 关键 信息 不 被 
发 送 。 如 输入 和 输出 的 Telnet 在 安全 性 上 存在 巨大 差异 。 多 数 情况 下 ,应 该 设置 允许 输出 
的 Telnet 操作 ,以 方便 用 户 登 录 Internet. 上 的 其 他 主机 ,而 对 输入 应 该 严格 控制 。 

4. 防范 针对 Telnet 的 攻击 

对 于 一 些 特定 的 Telnet 攻击 ,可 以 采用 有 针对 性 的 方法 来 保证 Telnet 的 安全 ,例如 , 早 
期 的 Telnet 攻击 主要 是 针对 环境 变量 的 使 用 攻击 。 在 支持 RFC1048 或 者 是 RFC1572 的 
系统 中 ,如 果 用 户 登 录 的 服务 器 的 Telnet 支持 共享 对 象 库 的 话 ,就 可 以 传递 环境 变量 ,这 个 
环境 变量 影响 Telnet 守护 进程 的 调用 和 登录 。 使 用 环境 变量 的 初衷 是 测试 使 用 的 二 进 制 
库 的 ,如 可 以 改变 路 径 ,而 不 必 改 变 原来 的 库 的 位 置 。 但 是 如 果 是 攻击 者 把 自己 定义 的 库 加 
和 其 中 ,然后 改变 环境 变量 ,根据 自己 的 库 的 位 置 设置 环境 变量 中 有 关 路 径 的 参数 ,可 以 取 
得 root 的 权限 。 目 前 ,安全 专家 已 经 意识 到 了 这 个 问题 ,可 以 使 用 忽略 环境 变量 的 setuid 
等 程序 加 以 防范 。 


5.5.3 安全 的 Telnet 系统 介绍 
针对 Telnet 的 安全 隐患 ,人 们 研制 开发 了 一 些 安全 的 Telnet 系统 ,以 作为 替代 工具 。 
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1. Deslogin 
由 David A. Barrett 开发 ,提供 了 带 安 全 认证 的 网 络 登录 服务 。 传 输 中 ,数据 使 用 DES 
算法 加 密 , 对 在 线 窃 听 有 一 定 的 防范 作用 ,比较 适合 于 仅 想 得 到 快速 的 .但 对 安全 性 要 求 不 
高 的 加 密会 话 过 程 。 
2. SRATelnet 
SRA Telnet 由 得 克 萨 斯 农业 与 机 械 大 学 超级 计算 机 中 心 的 David R. safford David K. 
Hess 和 Douglas Lee Schales 共同 开发 。SRATelnet 的 认证 过 程 基于 RFC (Request for 
Comments)1416 , 即 The Telnet 选项 。 它 为 Telnet 和 FTP 客户 机 和 服务 器 提供 了 一 种 替 
代 工 具 , 使 用 安全 RPC 代码 为 网 络 提供 加 密 认 证 ,因此 不 使 用 明文 口令 。 客 户 机 与 服务 器 
协商 SRA 的 有 效 性 和 完整 性 确保 不 被 非法 算 改 。 这 些 程序 不 要 求 有 外 部 的 密 钥 服务 器 或 
Ticket 服务 器 ,适应 性 、 稳 定性 较 好 。 
3. SRP Telnet/FTP 
SRP 由 斯 坦 福 大 学 开发 ,是 一 个 新 的 口令 认证 和 密 钥 交换 协议 ,适合 在 无 信任 关系 的 
网 络 中 进行 用 户 认 证 和 密 钥 交换 协议 。 这 种 协议 可 以 抵御 由 被 动 或 主动 网 络 入 侵 者 发 起 的 
字典 攻击 ,原则 上 甚至 可 以 使 强度 不 高 的 口令 短语 也 能 够 安全 使 用 。 它 提供 了 相对 完善 的 
前 向 保密 性 , 即 保护 以 前 的 会 话 和 口令 ,使 之 以 后 也 难于 破解 。 同 时 ,用 户 的 口令 保存 形式 
与 口令 自身 并 非 纯 文 本 等 价 对 应 ,因此 攻击 者 即使 捕获 了 口令 数据 库 也 无 法 直接 利用 它 来 
破坏 系统 安全 并 获得 立即 访问 主机 的 权限 。 
4. STEL 
STEL 即 安全 Telnet, 由 意大利 米兰 大 学 计算 机 科学 系 计算 机 紧急 反应 小 组 CER-IT 
成 员 David Vineenzetti、Slefano Taino 和 Fabio Bolognesi 开发 。 目 的 是 实现 安全 Telnet. 
防范 对 远程 终端 会 话 的 在 线 穷 听 。 其 特点 有 : 
。 安装 使 用 简单 方便 。 
。 使 用 DES, TripleDES 或 IDEA( 由 用 户 选择 调用 ) 随 机 密 钥 来 对 会 话 加 密 。 
。 使 用 Diffie-Hellman 作 会 话 密 钥 交 换 , 它 加 强 了 已 知 对 这 类 系统 构成 威胁 的 中 间 人 
攻击 的 防范 。 
。 支持 各 种 认证 方案 ,包括 普通 的 UNIX 口令 、SecureID 和 S/Key 等 。 
。 其 源 代码 公开 ,并 带 有 S/Key 服务 器 。 
5. Secure Shell(SSH) 
其 实 , 最 流行 .最 灵活 的 Telnet 替代 工具 是 Secure Shell. Hl SSH, SSH 是 一 个 安全 登 
录 系 统 ,适用 于 替代 Telnet, rlogin, rsh, rcp 和 rdict, 也 可 以 用 来 在 两 台 计 算 机 之 间 建 立 一 
条 加 密 信道 , 供 其 他 不 安全 的 软件 使 用 。 换 言 之 ,SSH 是 一 个 通过 网 络 登录 进入 另 一 台 计 
算 机 的 程序 , 它 可 以 在 远程 主机 上 执行 命令 ,在 不 同 计算 机 之 间 传 输 文件 ,为 不 安全 的 网 络 
提供 了 强 认证 和 安全 通信 功能 。SSH 支持 多 种 加 密 算法 : 
* BlowFish; 是 变 长 密 钥 最 大 可 达 448 位 的 对 称 密码 加 密 方案 , 常 被 用 于 对 高 数据 
量 、 高 速度 的 加 密 。 
* Triple DES; 由 IBM 于 1974 年 开发 , 是 美国 政府 非 秘 密级 数据 加 密 标 准 
(DatAEncryption Standard) 。 
* IDEA (International Data Encryption Algorithm, 国 际 数据 加 密 算 法 ): 密 钥 长 度 为 
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128 位 的 分 块 加 密 算法 。IDEA 的 加 密 速 度 比 Triple DES 快 且 安全 性 有 大 幅 提 高 。 
。 RSA(Rivert Shamir Adelman) 算 法 : 广泛 应 用 的 公 钥 密 码 系统 。 
出 于 安全 性 的 考虑 ,建议 大 家 使 用 SSH 来 替代 Telnet 登录 ,不 管 是 认证 还 是 文件 传送 
的 保密 性 上 都 有 保证 。 并 且 SSH 实际 上 已 成 为 各 种 系统 安全 登录 的 首选 。 


5.6 FTP 安全 技术 


在 Internet 上 ,FTP 是 文件 传输 事实 上 的 标准 , 它 用 来 在 不 同 主机 之 间 传 送 二 进 制 、 图 
JÉ ASCII 文本 等 各 种 类 型 的 文件 。FTP 有 两 种 访问 方式 :用 户 访问 方式 和 匿名 访问 方式 。 
前 者 指 用 户 在 FTP 服务 器 上 拥有 账号 并 允许 用 户 访问 允许 访问 的 文件 ;后 者 允许 用 户 以 
“匿名 ”方式 进入 系统 , 即 用 户 不 需要 在 服务 器 上 拥有 账号 就 可 以 存 取 或 传送 文件 。 相 对 而 
言 ,后 者 因为 给 用 户 的 自由 度 较 大 而 使 用 得 较 多 。 

FTP 是 TCP/IP 的 一 种 具体 应 用 ,是 网 络 中 极为 实用 的 服务 之 一 。 它 工作 在 OSI 模型 
的 第 七 层 ,TCP 模型 的 第 四 层 , 即 应 用 层 ,使 用 TCP 传输 而 不 是 UDP, 客 户 在 和 服务 器 建 
立 连 接 前 要 经 过 一 个 “三 次 握手 ”的 过 程 ,保证 客户 与 服务 器 之 间 的 连接 是 可 靠 的 ,而 且 是 面 
向 连接 ,为 数据 传输 提供 可 靠 保证 。 它 允许 用 户 以 文件 操作 的 方式 (如 文件 的 增 、 删 、 改 、 查 、 
传送 等 ) 与 男 一 主机 相互 通信 。 然 而 ,用 户 并 不 真正 登录 到 自己 想 要 存 取 的 计算 机 上 成 为 完 
全 用 户 ,可 用 FTP 程序 访问 远程 资源 ,实现 用 户 传输 文件 .目录 管理 以 及 访问 电子 邮件 等 
等 ,即使 双方 计算 机 可 能 使 用 不 同 的 操作 系统 和 文件 存储 方式 。 


5.6.1 FTP 工作 原理 与 工作 方式 


FTP 采用 Internet 标准 文件 传输 协议 FTP 的 用 户 界面 ,向 用 户 提供 了 一 组 用 来 管理 
计算 机 之 间 文 件 传 输 的 应 用 程序 。 

1. 基本 工作 原理 

FTP 是 基于 客户 /服务 器 (C/S) 模型 而 设计 的 ,在 客户 端 与 FTP 服务 器 之 间 建 立 两 个 
连接 。 客 户 端 用 户 调用 FTP 命令 后 . 便 与 服务 器 建立 连接 ,这 一 连接 被 称 作 控制 连接 ,又 称 
为 协议 解释 器 PI, 主 要 用 于 传输 客户 端的 请 求 命令 以 及 远程 服务 器 的 应 答 信息 。 一 旦 控制 
连接 建立 成 功 ,双方 便 进入 交互 式 会 话 状 态 ,互相 协调 完成 文件 传输 工作 。 另 一 个 连接 是 数 
据 连 接 , 当 客户 端 用 户 向 远程 服务 器 提出 一 个 FTP 请 求 时 ,临时 在 客户 与 服务 器 之 间 建 立 
一 个 数据 连接 ,主要 用 于 数据 的 传送 ,因而 又 称 作 数据 传输 过 程 DTP。 

为 了 建立 与 远程 系统 的 连接 ,从 保密 安全 的 角度 出 发 ,FTP 要 求 客户 向 服务 器 提供 用 
户 注册 名 和 口令 ,服务 器 拒绝 非法 用 户 的 访问 。 但 是 连接 一 旦 建立 成 功 , 一 个 或 多 个 文本 或 
图 像 二 进 制 文件 都 能 被 传送 ,FTP 不 必 担 心 可 靠 性 和 连接 的 管理 ,因为 FTP 依靠 TCP 能 
正确 执行 这 些 功能 。 

FTP 的 内 部 协议 命令 采用 四 字符 的 ASCII 序列 ,以 一 个 换行 符 作 为 结束 ,有 些 代码 后 
还 会 有 相应 的 参数 。 这 样 ,不仅 能 够 使 用 户 观察 请 求 流 ( 用 DEBUG 命令 ) ,而 且 易于 理解 和 
编译 。FTP 服务 程序 ftpd 所 支持 的 FTP 内 部 协议 命令 数目 繁多 ,这 些 命令 不 区 分 大 小 写 ， 
它们 主要 提供 连接 过 程 . 口 令 检查 和 实际 文件 的 传输 控制 ,不 要 与 FTP 的 用 户 命 令 相 混淆 。 
FTP 的 用 户 命令 经 过 客户 ftp 程序 解释 ,组 成 FTP 内 部 协议 命令 序列 向 远程 服务 器 ftpd 提 
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出 请 求 , 然 后 由 服务 器 给 予 相应 的 文件 传输 服务 。 

FTP 还 使 用 简单 的 应 答 来 指明 某 些 传输 条 件 ,每 个 命令 至 少 有 一 行 应 答 信息 。 应 答 的 
第 一 个 字段 是 一 个 三 位 数字 代码 , 称 作 应 答 代 码 ,接着 是 一 个 空格 或 减 号 符 ,然后 是 一 些 应 
答 文本 。 应 答 代 码 用 于 客户 进程 读 取 和 分 析 。 其 中 ,应 答 代 码 的 第 一 位 表示 命令 的 成 功 或 
失败 ,第 二 位 和 第 三 位 对 应 答 的 条 件 作 更 为 详细 的 说 明 。 

2. 王 作 方式 

为 了 在 两 台 计算 机 之 间 发 送 和 接收 文件 ,首先 必须 启动 远程 FTP 服务 器 的 服务 进程 
ftpd, 然 后 由 用 户 在 本 地 客户 端 启 动 客户 ftp 进程 ,建立 与 远程 服务 器 的 连接 (需要 向 ftpd 
提供 一 个 用 户 名 和 口令 ) ,利用 ftp 命令 与 远程 ftpd 进行 交互 式 会 话 , 完 成 文件 传输 。 客 户 
ftp 进程 主要 负责 如 下 工作 : 

CD) 38 iE GR TE" fpc "HER JH PLA ftp 命令 并 接收 。 

(2) 将 ftp 命令 转换 成 相应 的 FTP 内 部 协议 命令 序列 ,依次 向 远程 服务 器 ftpd 提出 内 
部 请 求 。 

(3) 在 屏幕 上 显示 服务 器 对 每 条 FTP 内 部 命令 反馈 的 应 答 信息 。 

(4) 在 用 户 所 指定 的 文件 系统 里 阅读 指定 文件 并 由 网 络 将 其 通过 数据 连接 发 送 给 远程 
服务 器 ftpd, 或 者 接收 由 远程 服务 器 ftpd 送 来 的 文件 并 将 其 写 入 用 户 指定 的 文件 系统 。 服 
务 器 ftpd 进程 则 负责 相应 的 工作 ,接收 用 户 进程 ftp 发 送 来 的 服务 请 求 命令 ,并 提供 相应 的 
服务 ,包括 将 用 户 发 送 的 数据 创建 成 文件 以 及 发 送 用 户 所 需 的 文件 或 目录 列表 等 。 

FTP 一 般 有 两 个 连接 ,一 个 是 客户 和 服务 器 传输 命令 的 连接 , 另 一 个 是 数据 传送 的 连 
接 。FTP 服务 程序 一 般 会 支持 两 种 不 同 的 模式 ,一 种 是 Port 模式 , 另 一 种 是 Pasv 模式 。 

1) Port 模式 

当 客 户 端 向 服务 端 连接 后 ,使 用 的 是 Port 模式 ,那么 客户 端 会 发 送 一 条 命令 告诉 服务 
端 ( 客 户 端 在 本 地 打开 了 一 个 端口 等 着 数据 连接 ), 当 服务 端 收 到 这 个 Port 命令 后 ,就 会 向 
客户 端 打 开 的 那个 端口 进行 连接 ,这 种 数据 连接 就 完成 了 。 

2) Pasv 模式 

当 客 户 端 向 服务 端 连接 后 ,服务 端 会 发 信息 给 客户 端 ,这 个 信息 是 服务 端 在 本 地 打开 了 
一 个 端口 , 当 客 户 端 收 到 这 个 信息 后 ,就 可 以 向 服务 端的 端口 进行 连接 ,连接 成 功 后 ,数据 连 
接 建立 。 


5.6.2 FTP 服务 器 软件 漏洞 


对 于 Port 模式 ,这 种 模式 多 用 于 服务 器 端 向 客户 端 连接 ,因为 服务 端 有 防火 墙 , 无 法 使 
用 Pasv 模式 在 服务 端 上 打开 端口 让 客户 端 去 连接 。 由 于 连接 本 身 是 由 服务 端 本 身 向 外 连 
接 , 这 本 身 就 存在 一 个 安全 的 问题 ,因为 如 果 这 个 连接 一 旦 被 黑客 攻击 ,由 于 连接 是 由 服务 
器 本 身 向 外 连 , 防 火 墙 将 不 会 有 任何 动作 去 阻止 这 个 连接 。 

对 于 Pasv 模式 ,似乎 比 Port 模式 安全 很 多 。 但 还 是 会 发 现 它 本 身 的 问题 。 由 于 服务 
端 会 打开 一 个 端口 等 客户 端 去 连接 ,但 如 果 这 个 打开 的 端口 并 没有 检测 连接 的 IP 是 哪个 客 
户 端的 下, 那么 安全 问题 也 出 现 了 。 因 为 有 很 多 FTP 服务 器 打开 的 数据 端口 等 客户 端 连 
接 是 随机 的 ,但 都 会 在 一 定 范围 内 。 如 果 FTP 服务 器 并 没有 在 接收 数据 端口 的 连接 时 检测 
连接 过 来 的 IP 是 不 是 合法 登录 的 用 户 ,那么 其 他 并 没有 登录 的 用 户 就 很 可 能 有 机 会 攻击 这 
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1. FTP 服务 器 软件 漏洞 

常用 的 FTP 服务 软件 有 Wu-ftpd, ProFTPD, vsftpd, 以 及 Windows 下 常用 的 Serv-U 
等 ,最 常见 也 最 可 怕 的 漏洞 就 是 缓冲 区 溢出 ,近来 Wu-ftpd 和 Serv-U 的 溢出 漏洞 层 出 不 
穷 ,ProFTPD 也 出 现 过 缓冲 区 溢出 ,目前 比较 安全 的 还 是 vsftp。 

2. 明文 口令 

由 于 TCP/IP 协议 族 的 设计 在 相互 信任 和 安全 的 基础 上 的 ,FTP 的 设计 也 没有 采用 加 
密 传 送 ,FTP 客户 与 服务 器 之 前 所 有 的 数据 传送 都 是 通过 明文 的 方式 ,当然 也 包括 了 口令 。 
自从 有 了 交换 环境 下 的 数据 监听 之 后 ,这 种 明文 传送 就 变 得 十 分 危险 ,因为 别人 可 能 从 传输 
过 程 中 捕获 一 些 敏 感 的 信息 ,如 用 户 名 和 口令 等 。 像 HTTPS SSH 都 采用 加 密 解 决 了 这 
一 问题 。 而 FTP 仍然 是 明文 传送 ,而 像 UINX 和 Linux 这 类 系统 的 FTP 账号 通常 就 是 系 
统 账 号 (vsftp 就 是 这 样 做 的 )。 这 样 黑客 就 可 以 通过 捕获 FTP 的 用 户 名 和 口令 来 取得 系统 
的 账号 ,如 果 该 账号 可 以 远程 登录 的 话 , 通 常 采 用 本 地 溢出 来 获得 root 权限 。 这 样 该 FTP 
服务 器 就 被 黑客 控制 了 。 

3. FTP 旗 标 

黑客 在 发 起 攻击 之 前 一 般 要 先 确 定 对 方 所 用 的 版 本 号 ,这 样 便于 选择 攻击 程序 。 这 个 
问题 相对 来 说 不 是 很 严重 ,现在 很 多 服务 软件 都 有 这 类 问题 。 例 如 : 


ftp xxx.XXx.xxx.xxxConnected to xxXx.Xxx.XXX.XXX (XXX.XXX.XXX.XXX). 
220- Serv- U FTP Server v6. 0 for WinSock ready... 
220 S TEAM 


从 此 信息 可 知 ,该 服务 器 使 用 的 服务 软件 可 能 就 是 Serv-U 6.0. 

4. 通过 FTP 服务 器 进行 端口 扫描 

FTP 客户 端 所 发 送 的 PORT 命令 告诉 服务 器 FTP 服务 器 传送 数据 时 应 当 连 接 的 IP 
和 端口 ,通常 ,这 就 是 FTP 客户 所 在 机 器 的 IP 地 址 及 其 所 绑 定 的 端口 。 然 而 FTP 协议 本 
身 并 没有 要 求 客户 发 送 的 PORT 命令 中 必须 指定 自己 的 IP。 

利用 这 一 点 ,黑客 就 可 以 通过 第 三 方 FTP 服务 器 对 目标 机 器 进行 端口 扫描 ,这 种 方式 
一 般 称 为 FTP 反射 ,对 黑客 而 言 , 这 种 扫描 方式 具有 以 下 两 个 优点 : 

CO 匿名 性 :由 于 端口 扫描 的 源 地 址 为 FTP 服务 器 的 IP 地 址 ,而 不 是 黑客 的 机 器 ,所 
以 这 种 方式 很 好 地 隐藏 了 黑客 的 真实 IP. 

(2) 避免 阻塞 :由 于 通过 第 三 方 FTP 服务 器 进行 扫描 ,即使 目标 机 器 通过 添加 内 核 
ACL 或 无 效 路 由 来 自动 阻塞 对 其 进行 扫描 的 机 器 ,但 黑客 可 以 通过 第 三 方 FTP 服务 器 来 
完成 其 扫描 工作 。 

s. 数据 劫持 

FTP 协议 本 身 并 没有 要 求 传 输 命 令 的 客户 IP 和 进行 数据 传输 的 客户 IP 一 致 ,这 样 黑 
客 就 有 可 能 劫持 到 客户 和 服务 器 之 间 传 送 的 数据 。 根 据 数据 传输 的 模式 可 把 数据 劫持 分 为 
主动 数据 动 持 和 被 动 数 据 动 持 。 

1) 被 动 数据 动 持 

在 FTP 客户 端 发 出 PASV 或 PORT 命令 之 后 并 且 在 发 出 数据 请 求 之 前 ,存在 一 个 易 
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受 攻 击 的 窗口 。 如 果 黑 客 能 猜 到 这 个 端口 .就 能 够 连接 并 截取 或 替换 正在 发 送 的 数据 。 要 
实现 被 动 数据 劫持 就 必须 知道 服务 器 上 打开 的 临时 端口 号 ,由 于 很 多 服务 器 并 不 是 随机 选 
取 端 口 , 而 是 采用 递增 的 方式 ,这 样 黑客 要 猜 到 这 个 端口 号 就 不 是 很 难 了 。 

2) 主动 数据 支持 
主动 数据 支持 比 被 动 数据 支持 要 困难 得 多 ,因为 在 主动 传输 的 模式 下 是 由 客户 打开 临 
时 端口 来 进行 数据 传输 ,而 黑客 是 很 难 找到 客户 的 IP 和 临时 端口 的 。 


5.6.3 安全 策略 


1. 选择 安全 系统 和 FTP 服务 软件 

对 于 服务 器 的 安全 以 及 效率 来 说 ,Linux 和 UNIX 都 强 于 Windows, Linux 下 面 的 权限 
设置 有 很 多 种 ,如 ACL、Selinux、pam 等 ,服务 器 软件 方面 应 选择 漏洞 相对 较 少 的 服务 器 ,如 
vsftp。 另 外 搭建 好 FTP 服务 器 应 对 服务 器 进行 必要 的 安全 配置 ,如 Linux 下 的 chroot 机 
制 , 保 证 即使 黑客 攻击 了 FTP 服务 器 ,也 只 能 在 限定 目录 下 活动 。 

2. 使 用 认证 和 加 密 

有 些 FTP 软件 现在 已 嵌入 了 SSL 模块 ,如 vsftp, 可 以 启用 SSL 模块 和 客户 端 建立 连 
接 。SSL 可 以 对 FTP 数据 流 进行 加 密 的 协议 ,同时 还 包括 了 身份 认证 和 数据 完整 性 校 验 等 
内 容 。 显 然 ,基于 SSL 的 FTP 克服 了 明文 传输 的 致命 弱点 。 

3. 更 改 服务 软件 的 旗 标 

更 改 服务 软件 的 旗 标 能 起 到 迷惑 攻击 者 的 作用 ,至 少 能 迷惑 很 多 扫描 器 ,造成 扫描 器 的 
误 报 ,但 更 改 旗 标 并 不 是 解决 安全 问题 的 根本 办 法 ,安全 漏洞 不 会 因为 旗 标 不 同 而 消失 ,不 
过 更 改 总 比 不 改 要 好 一 些 。 现 在 大 多 数 的 服务 端 软 件 都 可 以 在 配置 文件 里 更 改 该 FTP 的 
旗 标 。 

4. 加 强 协 议 安全 性 

加 强 协 议 安全 性 是 服务 软件 的 提供 商 需要 做 的 ,一 是 对 PORT 命令 进行 检查 ,PORT 
后 的 IP 应 和 客户 主机 是 同一 IP, 对 FTP 的 攻击 很 多 都 是 通过 构造 特殊 的 PORT 命令 来 实 
现 的 ,所 以 PORT 命令 的 使 用 对 于 攻击 者 来 说 就 显得 尤为 重要 了 。 做 到 这 一 点 并 不 是 很 容 
易 , 例 如 开发 FTP 软件 Wu-ftpd 就 花 了 几 年 的 时 间 。 目 前 针对 数据 支持 还 没什么 完美 的 防 
御 方 法 ,目前 能 做 的 就 是 检查 命令 通道 和 数据 通道 的 IP 地 址 是 不 是 一 致 ,但 这 也 不 能 百 分 
之 百 地 防止 数据 支持 的 发 生 , 因 为 客户 机 和 黑客 可 能 处 于 同一 内 网 。 

5. 严格 的 权限 设 定 

尽量 只 给 FTP 用户 必要 的 权限 ,而 不 是 更 多 权限 。 如 在 Linux 下 的 vsftp 服务 器 下 ,对 
普通 用 户 应 尽量 少 开放 写 权限 和 执行 权限 ,如 何 设 定 权限 视 具体 情况 而 定 。 

在 传统 的 FTP 通信 和 传输 过 程 中 可 以 看 出 ,FTP 协议 提供 了 一 种 简单 实用 的 网 络 文 
件 传输 方法 ,对 通信 双方 也 没有 可 靠 的 认证 措施 ,同时 还 存在 着 明文 信息 传输 的 弱点 。 虽 然 
近年 来 出 现 了 很 多 种 FTP 的 替代 服务 ,例如 基于 SSH 加 密 通 道 的 SFTP/SCP, 或 使 用 
IPSEC 协议 的 VPN 通道 等 ,但 由 于 FTP 的 通用 性 和 易 用 性 使 得 它 在 网 络 应 用 中 还 不 会 被 
完全 取代 。 目 前 FTP 的 应 用 非常 广泛 ,但 对 于 FTP 协议 安全 性 的 研究 还 不 是 很 多 。 
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5.7 DNS 欺骗 与 防范 技术 


DNS 是 一 个 用 于 管理 主机 名 字 和 地 址 信息 映射 的 分 布 式 数据 库 系 统 , 它 将 便于 记忆 和 
理解 的 名 称 同 枯燥 的 IP 地 址 联系 起 来 ,大 大 方便 了 人 们 的 使 用 。DNS 是 大 部 分 网 络 应 用 
的 基础 ,但 是 由 于 协议 本 身 的 设计 缺陷 .没有 提供 适当 的 信息 保护 和 认证 机 制 , 使 得 DNS 很 
容易 受到 攻击 。2005 年 3 月 美国 系统 网 络 安全 协会 的 互联 网 海量 数据 中 心 (ISC) 发 出 了 关 
于 DNS 欺骗 攻击 的 警告 ,在 新 一 轮 攻击 中 大 批 . COM 域名 服务 器 成 为 牺牲 品 , 至 少 有 
1300 个 域名 被 诱骗 到 被 破坏 的 服务 器 。 而 在 计算 机 安全 组 织 美 国 系 统 网 络 安全 协会 
(SANS Institute) 公 布 的 2004 年 前 20 位 网 络 安 全 隐患 排行 榜 中 ,BIND 域名 系统 更 是 排 在 
UNIX 及 Linux 相关 安全 隐患 的 首位 。 由 此 可 以 防范 对 DNS 的 攻击 ,确保 DNS 系统 的 安 
全 已 经 到 了 刻不容缓 的 地 步 。 

一 直 以 来 ,很 多 学 者 都 在 探讨 DNS 安全 性 的 问题 ,对 于 DNS 协议 所 固有 的 安全 缺陷 ， 
给 出 了 一 些 解决 方案 。IETF 的 域名 系统 安全 工作 组 提出 了 域名 系统 安全 扩展 协议 
(DNSSEC) ,该 协议 增加 了 认证 机 制 , 增 强 了 协议 本 身 的 安全 性 。 但 是 目前 该 协议 在 系统 效 
率 、 密 钥 管 理 等 方面 还 存在 一 定 的 问题 ,而 且 离 大 规模 的 普及 和 应 用 还 有 一 定 的 距离 。 因 此 
除了 对 DNS 协议 本 身 的 安全 研究 之 外 ,也 有 很 多 文章 探讨 了 在 现 有 的 基础 上 的 一 些 安全 方 
案 , 主 要 是 升级 服务 器 软件 ,对 DNS 系统 严格 配置 ,禁止 相关 的 功能 等 被 动 消极 的 防范 手 
段 。 而 对 一 些 难以 避免 的 攻击 如 DNS 欺骗 攻击 缺乏 必要 的 解决 方案 。 


5.7.1 DNS 欺骗 原理 


DNS 作为 Internet 的 基础 服务 ,受到 来 自 各 方面 的 威胁 ,对 DNS 攻击 的 主要 种 类 如 表 
5-1 所 示 , 从 比较 的 情况 来 看 ,它们 各 具 特 色 。DNS 欺骗 和 缓存 中 毒 攻击 都 是 利用 了 欺骗 的 
手段 ,而 且 都 比较 容易 实施 ,因此 这 两 种 攻击 危害 也 最 大 。 另 外 DNS 欺骗 主要 利用 协议 本 
身 的 认证 缺陷 ,难以 防范 。 而 缓存 中 毒 则 更 多 地 依赖 于 DNS 服务 器 软件 自身 的 漏洞 ,只 要 
升级 软件 的 最 新 版 本 并 严格 进行 配置 ,对 这 种 攻击 的 防范 能 力 将 明显 提高 。 


表 5-1 DNS 攻击 比较 


DNS 攻击 类 型 主动 性 | 攻击 流量 | ”被 攻击 者 攻击 手段 | 攻击 难度 
DNS 欺骗 (DNS Spoofing) 被 动 小 客户 /服务 器 欺骗 最 容易 
缓存 中 毒 (Cache Poisoning) 主动 K 服务 器 欺骗 较 容易 
服务 器 攻陷 (Server Compromising) 主动 小 服务 器 漏洞 入 侵 | 最 难 
拒绝 服务 (Denial of Service) 主动 最 大 | 服务 器 耗费 资源 | 较 难 


有 些 学 者 把 缓存 中 毒 攻击 也 称 为 DNS 欺骗 攻击 。 为 明确 区 分 这 两 种 攻击 ,本 书 所 指 
DNS 欺骗 攻击 将 不 包括 缓存 中 毒 攻 击 ,缓存 中 毒 也 不 作为 本 书 讨论 的 重点 。 

1. DNS 解析 原理 

在 分 析 DNS 欺骗 攻击 原理 之 前 , 先 界定 一 下 DNS 的 工作 原理 。 假 设 要 查询 的 域名 为 
www. hit. edu. cn, 并 假设 客户 端 和 首选 DNS 服务 器 满足 以 下 条 件 。 
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Q) 首选 DNS 服务 器 和 客户 机 首次 启动 ,并 且 没 有 本 地 缓存 信息 。 

(2) 首选 DNS 服务 器 不 是 目标 域名 的 授权 域名 服务 器 。 

具体 查询 的 过 程 如 图 5-5 所 示 ,步骤 如 下 : 

(1) 客户 端 首先 向 首选 DNS 服务 器 递归 查询 www. hit. edu. cn. 

(2) 首选 DNS 服务 器 检查 本 地 资源 记录 , 若 存在 则 作 授 权 回 答 ; 若 不 存在 , 则 检查 本 地 
缓存 ,如 存在 则 直接 返回 结果 。 若 本 地 资源 记录 和 缓存 中 都 不 存在 时 , 则 向 根 服务 器 和 迭代 
查询 。 

C3) 根 服务 器 返回 CN 域 的 授权 域名 服务 器 的 地 址 ,首选 DNS 服务 器 继续 向 CN 授权 
服务 器 迭代 查询 。 

(4) CN 域 权威 服务 器 返回 edu. cn 域 的 授权 域名 服务 器 地 址 ,首选 DNS 服务 器 如 此 选 
代 查 询 ,直到 得 到 对 于 域名 www. hit. edu. cn 的 授权 回答 ,保存 在 本 地 缓存 中 ,并 返回 给 客 
户 端 ,完成 此 次 查询 。 


其 他 DNS 服 务 器 
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图 5-5 域名 解析 过 程 


2. DNS 欺骗 攻击 原理 

由 于 DNS 协议 在 设计 上 的 缺陷 ,在 DNS 报 文中 只 使 用 一 个 序列 号 来 进行 有 效 性 鉴别 ， 
并 未 提供 其 他 的 认证 和 保护 手段 ,这 使 得 攻击 者 可 以 很 容易 地 监听 到 查询 请 求 ,并 伪造 
DNS 应 答 包 给 DNS 客户 端 ,从 而 进行 DNS 欺骗 攻击 。 目 前 所 有 DNS 客户 端 处 理 DNS 应 
答 包 的 方法 都 是 简单 地 信任 首先 到 达 的 数据 包 ,丢弃 所 有 后 到 达 的 ,而 不 会 对 数据 包 的 合法 
性 作 任 何 的 分 析 。 这 样 , 只 要 能 保证 欺骗 包 先 于 合法 包 到 达 就 可 以 达到 欺骗 的 目的 ,而 通常 
这 是 非常 容易 实现 的 。DNS 欺骗 攻击 可 能 存在 于 客户 端 和 DNS 服务 器 间 , 也 可 能 存在 于 
各 DNS 服务 器 之 间 , 但 其 工作 原理 是 一 致 的 ,如 图 5-6 所 示 。 

仍 以 www. hit. edu. en 为 例 ,假设 伪造 的 IP 为 1. 2. 3.4, 具 体 的 欺骗 过 程 如 下 : 

(D DNS 客户 端 向 首选 DNS 服务 器 发 送 对 于 www. hit. edu. cn 的 递归 解析 请 求 。 

(2) 攻击 者 监听 到 请 求 , 并 根据 请 求 ID 向 请 求 者 发 送 虚 假 应 答 包 ,通知 与 www. hit. 
edu. cn 对 应 的 IP 地 址 为 1.2.3.4。 
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首先 DNS 服务 器 人 > 
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图 5-6 DNS 欺骗 攻击 


G) 本 地 DNS 服务 器 返回 正确 应 答 ,但 由 于 在 时 间 上 晚 于 监听 者 的 应 答 ,结果 被 丢弃 。 
(4) 攻击 完成 ,客户 端 对 www. hit. edu. cn 的 访问 被 重 定向 到 1. 2. 3. 4。 


5.7.2 防范 DNS 欺骗 攻击 方法 


通过 对 合法 应 答 包 和 欺骗 应 答 包 的 分 析 发 现 ,欺骗 应 答 包 一 般 来 说 比较 简单 ,通常 只 有 
一 个 应 答 域 ,没有 授权 域 和 附加 域 。 这 也 正 符合 欺骗 攻击 者 要 尽快 将 欺骗 数据 包 返 回 给 客 
户 端的 初衷 ,因为 只 有 尽 可 能 地 节约 数据 包 构造 的 时 间 才 能 使 欺骗 包 早 于 合法 包 到 达 。 而 
合法 应 答 包 的 信息 则 比较 丰富 ,除了 可 能 有 多 个 应 答 域 之 外 ,通常 还 带 有 授权 域 ,附加 记录 
域 等 。 如 果 根 据 一定 的 规则 ,能够 区 分 开 欺 骗 包 和 合法 包 ,那么 就 可 以 躲避 DNS 欺骗 攻击 ， 
从 而 使 系统 具有 抗 攻击 能 力 。 以 下 是 几 种 可 行 的 防范 措施 : 

CD 加 权 法 。 首 先 根据 统计 分 析 , 给 DNS 应 答 包 中 的 各 个 字段 一 个 相应 的 可 信和 度 阅 
值 ,然后 根据 数据 包 情 况 计算 最 终 可 信 度 ,最 后 选择 可 信和 度 最 高 的 应 答 包 。 权 值 为 有 符号 
数 , 正 表示 加 上 相应 的 值 , 负 则 减 去 。 计 算 规则 描述 如 下 : 

设 数据 包 可 信和 度 权 值 为 SW: 为 第 i 个 属性 的 权 值 ,Ni 表示 第 i 个 属性 的 个 数 ,m 为 总 
的 属性 数 , 则 有 : 


S= Sw, x Ni 
i=1 


这 种 方法 的 准确 性 在 很 大 程度 上 依赖 于 权 值 分 布 .只 要 权 值 设置 得 合理 ,就 可 以 达到 满 
意 的 识别 效果 。 

(2) 贝 叶 斯 分 类 法 。 利 用 模式 分 类 的 思想 ,设计 一 个 两 类 贝 叶 斯 分 类 器 来 区 分 合法 和 
欺骗 包 。 首 先 根 据 统 计 信 息 抽 取 合 法 包 和 欺骗 包 的 特征 ,然后 统计 这 些 特征 的 概率 分 
布 , 并 由 此 设计 一 个 简单 的 两 类 贝 叶 斯 分 类 器 ,来 指导 欺骗 包 和 合法 包 的 识别 。 本 文 只 
是 提出 识别 的 思想 ,分 类 器 的 设计 不 是 本 文 讨论 的 重点 ,此 处 仅 以 一 个 特征 为 例 做 简单 
的 介绍 。 

根据 国内 外 统计 数据 ,发 现 同一 域名 的 DNS 服务 器 的 分 布 和 个 数 具有 一 定 的 特征 。 
Men&.Mice 分 别 对 GOV ,COM 域 以 及 国家 顶级 域 的 DNS 服务 器 的 分 布 做 了 调查 ,结果 如 
表 5-2 所 示 。 
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表 5-2 域名 服务 器 分 布 统计 


测试 日 期 所 属 域 所 有 服务 器 位 于 同一 子 网 (%) 单 授权 域名 服务 器 (%) 
2001-11-08 GOV 23.15 13. 07 
2001-11-30 COM 36.2 6.8 
2001-10-03 DK 55.2 8.8 
2001-10-03 FI 48.2 28.3 
2001-10-03 NO 29.5 & T 
2001-10-03 SE 41.1 4.0 
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图 5-7 国内 较为 出 色 的 100 个 网 站 域名 服务 器 分 布 


从 以 上 统计 可 以 看 出 ,超过 90% 的 域名 有 具有 多 个 授权 域名 服务 器 ,也 就 是 说 一 个 合 ; 
的 DNS 应 答 包 中 包含 多 个 授权 域 的 概率 为 90%。 可 以 将 此 项 作为 设计 贝 叶 斯 分 类 器 的 关 
键 特征 。 

设 W, 表示 数据 包 为 合法 包 ,W, 表示 数据 包 为 欺骗 包 , 特 征 x 表示 数据 包 中 包含 授权 
域 的 个 数 ,n 为 一 段 时 间 内 同一 个 DNS 请 求 收 到 的 结果 不 同 的 应 答 数 ,由 贝 叶 斯 公式 有 : 


POV)PG | Wi) POV;)PG | W2) 
PG) ` PG) 


H PQV, | 32 3-PQV, |x) — 1 
其 中 : P(W;) 表 示 数 据 包 为 合法 包 的 概率 ,因为 只 有 一 个 合法 包 , 所 以 取 值 为 1/n;P(W,) 
表示 数据 包 为 欺骗 包 的 概率 , 取 值 为 1 一 PC(W) 二 1 一 1/n;P(Wi|zx) 表 示 当 数据 包 中 包含 
个 授权 域 时 ,数据 包 为 合法 包 的 概率 ;PC(W; |z) 表 示 当 数据 包 中 包含 xz 个 授权 域 时 ,数据 包 
为 欺骗 包 的 概率 ;P(xz|Wi) 表 示 合 法 DNS 应 答 包 中 授权 域 个 数 的 分 布 ;P(x|W,) 表 示 欺 骗 
DNS 应 答 包 中 授权 域 个 数 的 分 布 , 分 布 函数 为 : 
0.1, xr Z1 
0.9. r—0 
PG) = PG | W, )P(Wi) + PG | W:2POY;) 


P(Wi | z) = P(W: | x) 


PG wo - { 


构造 两 类 分 类 器 : 
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_ PW PG | Wi)— POY; Pr | W2) 
Phr) 
由 于 归 一 化 常数 P(z) 对 最 终 分 类 没有 影响 ,因此 可 将 其 去 掉 , 得 
g (a) —POV))PG | Wi) — POV;) PG | W2) 


=} s Pa |w) 


n 


g(x) = P(W, | 30 — PW, | x) 


* P(xr | W2) 


PG |W) — E Pee | Wa) 


n 
设 此 贝 叶 斯 分 类 器 的 误差 率 为 PCerror|lz) ,可 以 得 出 以 下 结论 : 
P(W | z), PQW, | zx) < PQV, | x) 
Plerror | x) = 
P(W: | x), PQV,| 22 P(W; | x) 
即 
Plerror | x) = min[ PW, | x), P(W, | x)] 
这 样 就 可 以 通过 此 分 类 器 来 判断 合法 应 答 包 了 。 给 定 一 个 数据 包 , 首 先 统计 出 其 授权 域 个 
数 ,然后 计算 g Cio ,如 果 g (z) 二 0 则 为 合法 包 ,否则 为 欺骗 包 。 其 中 误差 为 P(error|x)。 
当然 ,单独 采用 一 个 特征 可 能 带 来 较 高 的 误差 率 , 本 书 只 是 提出 一 种 思想 。 
(3) DNS 欺骗 攻击 的 检测 
根据 DNS 欺骗 攻击 原理 的 讨论 ,如 果 受 到 欺骗 攻击 ,那么 客户 端 应 该 至 少 收 到 两 个 应 
答 包 ,一 个 是 合法 应 答 包 , 另 一 个 是 欺骗 攻击 包 。 根 据 这 个 特点 就 可 以 通过 一 定 的 方法 检测 
这 种 攻击 。 根 据 检测 手段 的 不 同 , 将 其 分 为 被 动 监听 检测 .虚假 报 文 探测 和 交叉 检查 查询 
3 种 : 
CD 被 动 监听 检测 : 该 检测 手段 是 通过 旁 路 监听 的 方式 ,捕获 所 有 DNS 请 求 和 应 答 数 
据 包 ,并 为 其 建立 一 个 请 求 应 答 映 射 表 。 如 果 在 一 定 的 时 间 间 隔 内 ,一 个 请 求 对 应 两 个 或 两 
个 以 上 结果 不 同 的 应 答 包 , 则 怀疑 受到 了 DNS 欺骗 攻击 ,因为 DNS 服务 器 不 会 给 出 多 个 结 
果 不 同 的 应 答 包 ,即使 目标 域名 对 应 多 个 IP 地 址 ,DNS 服务 器 也 会 在 一 个 DNS 应 答 包 中 
返回 ,只 是 有 多 个 应 答 域 (answer section) 而 已 。 
© 虚假 报 文 探测 : 该 检测 手段 采用 主动 发 送 探测 包 的 手段 来 检测 网 络 内 是 否 存 在 
DNS 欺骗 攻击 者 。 这 种 探测 手段 基于 一 个 简单 的 假设 : 攻击 者 为 了 尽快 地 发 出 欺骗 包 , 不 
会 对 域名 服务 器 IP 的 有 效 性 进行 验证 。 这 样 如 果 向 一 个 非 DNS 服务 器 发 送 请 求 包 ,正常 
来 说 不 会 收 到 任何 应 答 ,但 是 由 于 攻击 者 不 会 验证 目标 IP 是 否 是 合法 DNS 服务 器 ,他 会 继 
续 实 施 欺 骗 攻击 ,因此 如 果 收 到 了 应 答 包 , 则 说 明 受 到 了 攻击 。 
C 交叉 检查 查询 : 交叉 检查 是 在 客户 端 收 到 DNS 应 答 包 之 后 ,向 DNS 服务 器 反 向 查 
询 应 答 包 中 返回 的 IP 地 址 所 对 应 的 DNS 名 字 , 如 果 二 者 一 致 ,说 明 没 有 受到 攻击 ,和 否则 说 
明 被 欺骗 。 
以 上 讨论 的 3 种 DNS 欺骗 攻击 的 检测 手段 ,其 中 被 动 监听 检测 法 属于 被 动 方式 ,其 他 
两 种 属于 主动 方式 。 被 动 监听 检测 法 不 会 造成 网 络 的 附加 流量 ,但 它 是 一 种 消极 的 应 对 方 
式 , 无 法 检测 潜在 的 攻击 。 虚 假 报 文 探测 法 需要 主动 发 送 大 量 探测 包 , 会 增加 网 络 负担 。 另 
外 DNS 欺骗 攻击 一 般 只 欺骗 特定 的 域名 ,这 样 探测 包 中 待 解 析 域 名 的 选择 就 有 很 大 的 不 确 
定性 ,从 而 增 加 了 探测 的 难度 。 而 交叉 检查 查询 位 于 二 者 之 间 ,在 被 动 检测 的 基础 上 ,对 收 
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到 的 应 答 包 进行 主动 验证 ,但 是 这 种 方法 更 多 地 依赖 于 DNS 服务 器 的 反 向 查询 服务 ,大 量 
的 DNS 服务 器 并 没有 提供 这 种 服务 。 

3 种 检测 手段 各 有 优 缺 点 ,在 实际 应 用 中 可 以 将 三 者 有 效 地 结合 起 来 ,取长补短 ,从 而 
达到 好 的 检测 效果 。 


5.8 IP 地 址 欺骗 与 防范 技术 


在 计算 机 网 络 飞速 发 展 的 同时 ,网 络 资源 所 遭受 到 的 攻击 和 破坏 也 日 益 严 重 。 从 网 络 
特征 上 来 分 ,攻击 可 以 分 为 主动 性 攻击 和 被 动 性 攻击 两 大 类 。 被 动 攻击 只 是 被 动 地 监听 网 
络 数据 ,不 会 对 数据 作 任何 修改 ;而 主动 攻击 则 是 通过 绕 过 或 攻破 安全 防护 、 注 入 恶意 代码 、 
置换 网 络 数 据 \ 破 坏 系 统 完 整 性 等 行为 来 达到 对 网 络 资源 的 非法 使 用 和 破坏 的 目的 。 主 动 
攻击 占 网 络 攻击 的 绝 大 部 分 ,身份 欺骗 是 其 中 一 类 行 之 有 效 的 主动 性 攻击 手段 。 

身份 欺骗 利用 网 络 结构 以 及 相关 协议 在 实现 过 程 中 存在 的 安全 漏洞 来 实现 攻击 目的 ， 
其 方式 非常 多 ,常见 的 有 IP 欺骗 .MAC 地 址 欺骗 ,电子 邮件 欺骗 ,账户 名 欺骗 .TCP 会 话 动 
持 .ARP 欺骗 ,DNS 欺骗 .路 由 欺骗 以 及 通过 代理 服务 器 欺骗 等 ,其 中 IP 欺骗 使 用 最 为 广 
iz ,通过 TP 欺骗 能 够 有 效 地 隐藏 攻击 者 的 身份 甚至 嫁 祸 于 人 。 


5.8.1 IP 地 址 欺骗 原理 


IP 欺骗 是 利用 主机 之 间 的 正常 信任 关系 ,通过 修改 IP 数据 包 中 的 源 地 址 ,以 绕 开 主 机 
或 网 络 访问 控制 或 隐藏 攻击 来 源 (如 防火 墙 或 主机 的 日 志 数 据 ) 的 攻击 技术 。 利 用 IP 欺骗 
技术 ,可 以 实现 中 间 人 攻击 会话 动 持 攻击 、 源 路 由 攻击 、 拒 绝 服 务 攻击 、 信 任 关系 利用 等 多 
种 攻击 ,IP 欺骗 之 所 以 能 够 得 以 实现 ,其 根本 原因 是 TCP/IP 协议 本 身 的 缺陷 。IP 协议 是 
TCP/IP 协议 族 中 面向 连接 的 、 非 可 靠 传输 的 网 络 层 协 议 , 它 不 保持 任何 连接 状态 信息 ,也 
不 提供 可 靠 性 保障 机 制 ,这 使 得 我 们 可 以 在 TP. 数据 报 的 源 地 址 和 目的 地 址 字段 填 人 任何 满 
足 要 求 的 IP 地 址 ,从 而 实现 使 用 虚假 IP 地 址 或 进行 IP 地 址 盗用 的 目的 。IP 欺骗 的 主要 步 
«WU: 

(1) 发 现 信任 关系 。 

(2) 攻击 被 信任 主机 使 其 瘫痪 。 

(3) 伪造 TCP 数据 包 , 猜 测 初始 序列 号 。 

(4) 与 目标 机 建立 连接 ,获取 访问 目标 主机 的 权限 。 

(5) 进一步 提升 权限 ,从 而 完全 控制 目标 主机 。 

1. IP 欺骗 与 访问 控制 

访问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 , 它 控制 用 户 和 系统 与 其 他 系统 和 资源 进 
行 通信 和 交互 。 访 问 控制 决定 了 谁 能 够 访问 系统 ,能 访问 系统 的 何 种 资源 以 及 如 何 使 用 这 
些 资源 ,其 技术 包括 人 网 访问 控制 网络 权限 访问 控制 .目录 级 控制 以 及 属性 控制 等 多 种 。 

IP 欺骗 只 适用 于 那些 通过 IP 地 址 实现 访问 控制 的 系统 。 因 为 如 果 系 统 还 有 其 他 访问 
控制 策略 ,比如 应 用 级 的 用 户 权限 和 口令 等 ,即使 攻击 者 能 够 伪造 合法 的 IP 地 址 ,也 不 能 实 
现 对 网 络 资源 的 非法 访问 。 本 书 的 讨论 基于 IP 地 址 实现 访问 控制 的 系统 上 实现 IP 欺骗 的 
原理 。 
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在 网 络 中 ,计算 机 之 间 的 交互 是 以 在 认证 和 信任 关系 为 基础 之 上 进行 的 。 认 证 是 网 络 
中 各 计算 机 相互 之 间 识 别 的 过 程 。 经 过 相互 认证 ,两 台 建立 连接 的 计算 机 之 间 就 会 建立 信 
任 关系 。 

当 两 台 计算 机 之 间 形 成 了 信任 关系 ,第 三 台 计 算 机 就 能 冒充 建立 了 信任 关系 的 两 台 计 
算 机 中 的 之 一 对 另 一 台 进 行 欺 骗 , 说 得 简单 一 点 就 是 盗用 被 攻击 者 信任 方 的 IP 地址。 此 
外 ,随意 伪造 TP 地 址 也 是 黑客 用 于 隐藏 自己 攻击 者 身份 的 IP 欺骗 手段 之 一 。 因 此 ,IP 欺 
骗 的 表现 形式 主要 有 两 种 ,一 种 是 攻击 者 伪造 的 IP 地 址 不 可 达 或 根本 不 存在 ; 另 一 种 IP HK 
骗 则 利用 的 是 被 攻击 的 目标 主机 与 其 他 主机 之 间 的 信任 关系 ,通过 伪造 被 攻击 方 信任 的 
IP 地 址 来 进行 冒充 ,从 而 获得 对 目标 主机 的 访问 权 。 

例如 ,在 UNIX 主机 中 ,存在 一 种 特殊 的 信任 关系 , 即 : 若 用 户 user 在 主机 A 和 主机 
B 上 各 有 一 个 账号 user, 那 么 ,用 户 在 主机 A 上 登录 时 需要 输入 主机 A 上 的 账号 user, 而 在 
主机 B 上 登录 时 需要 输入 主机 B 上 的 账号 user, 两 主机 会 将 user 当 作 是 两 个 独立 的 互 不 相 
关 的 账号 ,这 就 使 得 用 户 在 多 服务 器 环境 下 的 工作 存在 诸多 的 不 便 ,为 了 解决 这 个 问题 , 通 
常 的 做 法 是 在 主机 A 和 主机 B 之 间 建 立 两 个 账号 的 相互 信任 关系 ,其 方法 是 : 在 两 台 主 机 
上 都 分 别 在 user JH P! ff] home 目录 中 创建 . rhosts 文件 ,然后 在 主机 A 的 user 用 户 的 home 
目录 中 运行 命令 #echo“ 主 机 Buser” 二 一 /. rhosts, 同 时 在 主机 B 的 user HP! ff] home H 
录 中 运行 命令 #echo “主机 Auser" 7 —/. rhosts, 这 样 ,就 建立 了 主机 A 与 主机 B 的 信任 关 
系 。 这 种 信任 关系 一 旦 建立 ,用 户 就 可 以 方便 地 使 用 任何 以 r 开头 的 远程 调用 命令 ,如 远程 
登录 rlogin ,远程 执行 rsh .远程 复制 文件 rcp 远程 显示 当前 注册 用 户 rwho 等 。 

由 于 rlogin 命令 是 基于 信任 关系 的 验证 ,其 命令 是 使 用 TCP 协议 进行 传输 的 。 并 且 ， 
如 果 发 出 命令 的 主机 是 目标 主机 信任 的 ,该 命令 将 允许 在 不 应 答 口 令 的 情况 下 使 用 目标 主 
机 上 的 资源 ,也 就 是 说 ,这 种 特殊 的 信任 关系 使 得 其 访问 控制 只 有 通过 IP 地 址 进行 的 监控 。 
那么 ,如 果 攻 击 者 能 够 伪造 出 目标 机 信任 的 主机 的 TP 地 址 (即将 IP 数据 包 中 源 IP 地 址 替 
换 为 目标 机 信任 的 主机 的 IP 地 址 ), 即 可 以 运行 rlogin 命令 ,在 不 需要 权限 口令 验证 的 情况 
下 获得 对 目标 机 资源 的 访问 权限 。 

在 UNIX 系统 中 ,除了 R 服务 外 ,依赖 于 IP 地 址 执行 主机 鉴别 的 NFS, 也 很 容易 受到 
IP 欺骗 攻击 。 

2. IP 欺骗 的 特征 与 实现 

实际 上 ,仅仅 简单 地 通过 修改 TP 数据 报 中 的 源 IP 地 址 是 实现 不 了 IP 欺骗 的 ,IP 欺骗 
的 技术 非常 复杂 。 这 是 因为 TCP 会 对 IP 数据 包 进 行进 一 步 的 封装 。TCP 是 一 个 面向 连 
接 的 可 靠 的 传输 层 协议 ,需要 连接 双方 确认 同意 才能 进行 数据 交换 ,并 且 ,TCP 协议 还 要 保 
证 两 台 通 信 设 备 之 间 的 数据 包 要 顺序 传输 。TCP 的 这 种 可 靠 性 是 依靠 数据 包 中 的 序列 号 
(SYN) 和 数据 确认 (ACK) 这 样 的 多 位 控制 字 来 实现 的 。TCP 会 为 每 一 个 数据 字 节 分 配 一 
个 序列 号 ,并 对 已 经 成 功 接受 的 源 地 址 所 发 送 的 数据 包 进 行 确认 ,并 在 确认 数据 包 中 携带 下 
一 个 期 望 接收 到 的 数据 包 的 序列 号 。 并 且 ,.TCP 协议 的 通信 双方 需要 在 正式 传输 数据 之 
间 , 采 用 “三 次 握手 ”的 方式 建立 一 个 稳健 的 连接 。 

因此 ,在 上 述 建立 了 特殊 信任 关系 的 两 台 主 机 A 和 B 中 的 A 主机 上 运行 rlogin 命令 的 
时 候 , 其 详细 的 工作 过 程 如 下 : 

(1) 连接 请 求 方 即 主 机 A 向 服务 方 即 主 机 B 发 送 带 有 初始 序列 号 SYN 标志 的 数据 
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段 ,以 便 通知 主机 B 需要 建立 TCP 连接 ,并 告诉 B 自己 的 初始 序列 号 位 SYNa。 

(2) xi B 在 接收 到 主机 A 传输 过 来 的 TCP 数据 段 后 ,向 A 会 传 一 个 带 有 SYN 和 
ACK 标志 的 数据 段 ,以 便 通知 主机 A 自己 的 初始 序列 号 SYNb ,并 确认 B 发 送 来 的 第 一 个 
数据 段 , 将 ACK 设置 SYNa 十 1 。 

(3) A 确认 收 到 B 的 数据 段 ,并 将 ACK 设置 为 SYNb 十 1。 

此 时 ,双方 的 连接 建立 完成 ,开始 进行 数据 传输 了 。 

因此 ,IP 欺骗 攻击 的 实现 过 程 通常 可 以 按 如 下 方法 实现 : 

(1) 先 与 被 攻击 主机 A 的 某 个 端口 (如 rlogin 服务 的 端口 为 513) 建 立正 常 的 连接 ,并 
记录 在 实现 这 个 正常 连接 时 主机 A 所 产生 的 ISN 和 从 本 机 到 主机 A 的 大 致 的 RTT( 往 返 
时 间 ) 值 ,多 次 进行 该 步骤 ,从 而 得 到 RTT 的 平均 值 ,从 而 获得 其 ISN 的 增加 规律 。 

(2) 在 获得 主机 A 的 ISN 值 和 增加 规律 后 ,立即 进行 人 侵 ( 因 为 一 旦 在 这 期 间 有 其 他 
主机 与 主机 A 进行 连接 ,主机 A 的 ISN 值 将 会 比 实现 获得 的 ISN 增加 64000)。 即 构造 虚 
假 的 TCP 数据 包 并 发 送 给 主机 A。 如 果 此 次 攻击 所 估计 的 ISN 是 正确 的 ,那么 ,这 些 数据 
包 将 被 缓存 到 主机 A 的 缓冲 区 中 。 如 果 估 计 的 值 小 于 真正 的 ISN 值 ,那么 ,这 些 数据 包 将 
会 被 丢弃 ;如 果 估 计 值 大 于 真正 值 ,并 且 载 和 人 缓冲 区 的 大 小 之 内 ,这 个 数据 包 也 会 被 缓存 起 
来 ,该 TCP 连接 会 继续 等 待 其 他 “缺少 "的 数据 ,如 果 不 在 缓冲 区 之 内 ,主机 A 将 会 丢弃 数 
据 包 并 返回 一 个 带 有 其 期 望 得 到 的 序列 号 的 数据 包 。 

以 利用 rlogin 实现 IP 欺骗 为 例 ,其 欺骗 过 程 为 : 攻击 者 先 获 取 主 机 A 的 信任 方 主机 B 
的 IP 地址 ,然后 向 主机 A 发 送 带 有 SYN 表示 的 数据 段 请 求 连接 ,并 将 该 请 求 数 据 包 中 的 
源 IP 地 址 填写 为 主机 B 的 IP 地 址 ,目的 端口 则 填写 为 主机 A 的 rlogin 的 专用 TCP 端口 
513。 主 机 A 在 接收 到 这 个 数据 包 后 .向 主机 B 发 回 SYN 十 ACK 数据 段 ,显然 ,此 时 真正 的 
主机 B 根本 无 法 或 不 会 响应 (因为 要 么 主机 B 没 开机 ,要 么 主机 B 已 经 被 攻击 者 陷入 瘫痪 
状态 ) ,而 攻击 者 则 马上 向 主机 A 发 送 填写 有 猜测 的 ISN 的 ACK 数据 包 。 如 果 这 个 ACK 
数据 包 中 的 ISN 猜测 正确 的 话 ,欺骗 便 成 功 ,连接 就 正式 建立 。 而 此 时 由 于 连接 建立 后 所 
运行 的 服务 是 rlogin, 那 么 ,攻击 者 就 可 以 不 需要 口令 等 验证 而 访问 主机 A 了 ,入 侵 也 就 成 
Zi. 

TCP 的 这 种 可 靠 性 使 得 并 非 简 单 地 改变 TP 数据 包 中 的 源 IP 地 址 就 能 够 实现 IP 欺骗 。 
从 上 面 的 过 程 可 以 看 出 ,要 对 主机 A 进行 IP 欺骗 ,必须 要 知道 主机 A 使 用 的 初始 序列 号 
ISN。 为 了 防止 因为 延迟 、 重 传 等 扰乱 三 次 握手 的 进行 ,ISN 并 不 是 随意 选取 的 ,而 且 , 不 同 
的 系统 有 不 同 的 选取 ISN 的 算法 。 

由 于 用 于 存放 序列 号 的 控制 字段 是 32 位 的 ,因此 ,实际 上 SYN 可 以 看 成 是 一 个 32 位 
的 计算 器 。 初 始 序列 号 约 每 秒 增加 128 000, 如 果 有 连接 出 现 ,每 次 连接 将 把 计数 器 的 数值 
增加 到 64 000, 这 使 得 用 于 表示 初始 序列 号 的 ISN 的 32 位 计数 器 在 没有 连接 的 情况 下 约 每 
9. 32 小 时 便 要 复位 一 次 。 而 且 , 各 个 系统 产生 初始 序列 号 的 算法 又 不 同 ,因此 ,实际 上 要 预 
测 出 攻击 目标 的 序列 号 是 非常 困难 的 。 可 见 ,IP 欺骗 虽然 从 原理 上 来 说 是 比较 切实 可 行 
的 ,但 要 真正 实现 IP 欺骗 却 是 非常 困难 的 。 


5.8.2 IP 欺骗 的 防范 措施 
IP 欺骗 利用 的 是 IPv4 协议 本 身 的 缺陷 来 实现 的 ,解决 IP 欺骗 最 根本 的 方法 是 施行 密 
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码 认证 机 制 。 目 前 IPv6 虽然 能 够 借助 IPSec 提供 的 安全 服务 有 效 地 防止 诸如 TP 欺骗 之 类 
的 网 络 攻 击 行为 ,但 从 IPv4 到 IPv6 的 过 渡 还 需要 很 长 的 一 段 时 间 。 因 此 ,目前 应 该 采用 有 
效 的 检测 和 防范 IP 欺骗 的 措施 。 

从 以 上 的 原理 分 析 可 以 看 出 ,IP 欺骗 之 所 以 能 够 实施 是 因为 主机 之 间 的 信任 。 主 机 之 
间 的 访问 控制 是 建立 在 IP 地 址 的 验证 上 ,并 且 , 序 列 号 估计 是 非常 难得 ,其 估计 精度 是 欺骗 
成 功 与 否 的 关键 ,针对 这 些 特征 ,可 采用 的 防范 策略 有 : 

CD 禁止 建立 基于 IP 地 址 的 信任 关系 ,不 采用 使 用 源 地 址 认证 的 服务 系统 ,而 采用 基 
于 密码 的 认证 机 制 。IP 欺骗 之 所 以 能 实现 因为 目标 机 有 信任 的 主机 可 供 攻 击 者 冒充 , 因 
此 ,只 要 主机 没有 信任 对 象 ,就 可 彻底 杜绝 IP 欺骗 。 

(2) 在 路 由 器 上 进行 过 滤 处 理 。 但 是 ,这 种 过 滤 措 施 只 能 减少 IP 欺骗 发 生 的 可 能 性 ， 
并 不 能 从 根本 上 杜绝 其 发 生 。 可 以 在 路 由 器 上 通过 对 数据 包 的 监控 来 检测 IP 欺骗 ,如 果 发 
现 数据 包 的 源 IP 和 目的 TP 地 址 都 是 本 地 域 的 地 址 ,就 可 以 肯定 有 人 试图 要 攻击 系统 。 因 
为 同一 个 域 中 的 通信 是 不 需要 经 过 路 由 器 的 。 

G) 数据 加 密 也 是 阻止 IP 欺骗 的 一 个 有 效 方法 , 即 在 通信 时 要 求 加 密 传输 和 验证 。 

(4) 采用 IP 安全 协议 也 是 目前 防范 IP 欺骗 的 主要 方法 之 一 ,如 S/MIME, OpenPGP, 
SSL,PPTP,IPSec 等 。 

IP 欺骗 是 通过 伪造 来 自 可 信任 TP 地 址 的 数据 包 , 以 使 一 台 主 机 认证 另 一 台 主 机 的 复 
杂技 术 。 本 书 深入 分 析 了 IP 欺骗 的 原理 和 实现 过 程 ,并 指出 了 一 些 比较 有 效 的 监测 防范 
措施 。 


5.9 IP 地 址 盗用 与 防范 技术 


IP 地 址 盗用 一 直 是 困扰 网 络 管理 人 员 的 一 个 问题 ,本 节 首 先 分 析 了 IP 地 址 盗用 的 三 
种 常用 的 方法 ,然后 有 针对 性 地 提出 了 5 种 可 行 的 解决 方案 ,并 分 析 了 IP 地 址 防盗 措施 ,为 
解决 IP 地 址 盗用 问题 提供 了 一 些 思路 。 最 后 ,从 实践 出 发 ,综合 考虑 各 种 因素 ,解决 TP 地 
址 盗用 与 防范 问题 。 


5.9.1 IP 地 址 盗用 的 常用 方法 


IP 地 址 盗用 的 基本 途径 包括 : 静态 修改 IP 地 址 .成 对 修改 IP-MAC 地 址 .动态 修改 IP 
地 址 。 静 态 修改 IP 地 址 只 能 盗用 处 于 同一 子 网 内 的 IP 地 址 。 现 在 的 一 些 兼 容 网 卡 , 其 
MAC 地 址 可 以 使 用 网 卡 配置 程序 进行 修改 。 如 果 将 一 台 计 算 机 的 IP 地 址 和 MAC 地 址 都 
改 为 另外 一 台 合法 主机 的 IP 地 址 和 MAC 地 址 .这 就 是 成 对 修改 IP-MAC 地 址 盗用 。 动 态 
修改 IP 地 址 就 是 伪造 某 台 主机 的 IP 地 址 的 技术 。 

IP 地 址 盗用 的 手段 一 直 在 不 断 地 更 新 ,这 也 要 求 网 络 管理 者 采用 更 先进 的 防盗 技术 。 
IP 地 址 的 各 种 防盗 技术 ,主要 是 通过 各 种 “ 绑 定 ”的 方法 实现 的 。 现 行 的 几 种 防盗 措施 : 路 
由 器 隔离 “ 双 绑 定 ?策略 ,利用 IP 地 址 .MAC 地 址 和 身份 认证 相 结 合 的 方法 ,动态 配置 
MAC 地 址 ,用 PPPOE 协议 进行 用 户 认 证 。 

路 由 器 隔离 具体 的 实现 方法 有 两 种 : 

CD 使 用 静态 路 由 表 , 即 在 路 由 器 中 建立 一 个 MAC 地 址 与 IP 地 址 的 对 应 表 , 只 有 
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“MAC-IP 地 址 对 ”合法 匹配 的 机 器 才能 得 到 正确 的 ARP 应 答 。 

(2) 通过 SNMP 协议 定期 扫描 网 络 各 路 由 器 ARP K ,获得 当前 IP-MAC 对 照 关系 ,与 
存储 的 合法 IP-MAC 地 址 比较 ,不 一 致 者 即 为 非法 访问 。 

“ 双 绑 定 ” 策 略 是 通过 把 MAC 与 IP 地 址 ,IP 地 址 与 交换 机 端口 “ 双 绑 定 ”, 由 于 用 户 所 
连接 交换 机 的 物理 端口 的 不 可 改变 性 ,从 而 真正 实现 了 用 户 IP 与 MAC 的 一 一 对 应 。 

利用 IP 地址 .MAC 地 址 和 身份 认证 相 结合 的 方法 对 防范 同时 盗用 TP 地 址 和 MAC 地 
址 的 盗用 行为 有 一 定 的 作用 。 属 于 该 类 的 具体 方案 有 : 利用 代理 服务 器 和 防火 墙 相 结合 
方案 .利用 在 系统 中 增加 透明 网 关 的 方案 等 。 

MAC 地 址 只 会 在 数据 链 路 层 中 出 现 , 且 MAC 的 唯一 性 实质 上 是 指 只 需 在 某 个 局 部 的 
网 络 内 部 唯一 ,因此 可 以 通过 动态 配置 MAC 地 址 的 方法 防止 IP 次 用。 此 方法 能 彻底 杜绝 
IP 地 址 次 用 ,但 是 在 使 用 这 种 方法 时 ,需要 设计 一 个 软件 来 完成 动态 MAC 地 址 的 分 配 , 合 
法 用 户 的 认证 以 及 是 否 对 其 开放 外 部 网 络 等 操作 。 实 现 并 不 困难 ,有 很 强 的 可 操作 性 。 

PPPOE 的 全 称 是 Point to Point Over Ethernet。 局 域 网 PPPOE 接 入 模型 采用 
PPPOE 接 入 方式 ,用 户 不 需要 设置 固定 IP 地 址 、 默 认 网 关 和 域名 服务 器 。 使 用 PPPOE 服 
务 ,即使 在 用 户 乱 设 造成 IP 地 址 冲突 的 情况 下 ,用户 依然 可 以 正常 上 网 。 另 外 ,上 网 的 用 户 
可 以 拥有 网 络 服务 器 分 配 的 IP 地 址 ( 即 互联 网 上 合法 的 IP 地 址 ) ,能 够 避 开 固定 IP 所 带 来 
的 问题 ,让 非法 用 户 无 法 窃取 网 络 IP 地 址 ,而 且 它 还 可 粗略 解决 IP 地 址 短缺 问题 。 它 对 通 
过 成 对 修改 IP-MAC 地 址 来 盗用 IP 有 很 好 的 防范 效果 。 


5.9.2 IP 地 址 盗用 防范 技术 


1. 端口 十 IP 十 MAC 地 址 的 绑 定 

下 面 以 高 校 IP 地 址 防盗 措施 为 例 进行 分 析 。 学 生 宿舍 区 的 用 户 上 网 的 安全 性 非常 重 
要 ,华为 E152 系列 可 以 做 到 端口 十 IP 十 MAC 地 址 的 绑 定 关系 ,华为 E152 系列 交换 机 可 以 
支持 基于 MAC 地 址 的 802. 1x 认证 。MAC 地 址 的 绑 定 可 以 直接 实现 对 于 边缘 用 户 的 管 
理 , 提 高 整个 网 络 的 安全 性 .可 维护 性 。 这 种 方式 具有 很 强 的 安全 特性 : 防止 Dos 的 攻击 ， 
防止 用 户 的 MAC 地 址 的 欺骗 ,对 于 更 改 MAC 地 址 的 用 户 (MAC 地 址 欺骗 的 用 户 ) 可 以 实 
现 强 制 下 线 。 

2. 接 入 层 防 Proxy 的 功能 

考虑 到 大 学 生 的 技术 性 较 强 ,在 实际 的 应 用 过 程 当 中 应 当 充 分 考虑 到 学 生 的 Proxy 的 
使 用 ,对 于 Proxy 的 防止 ,华为 3Com 公司 E152 系列 交换 机 配合 华为 3Com 公司 的 
802. 1x 的 客户 端 ,一 旦 检测 到 用 户 PC 上 存在 两 个 活动 的 IP 地 址 (不 论 是 单 网 卡 还 是 双 网 
卡 ),E152 系列 交换 机 将 会 下 发 指令 将 该 用 户 直接 踢 下 线 。 

3. MAC 地 址 盗用 的 防止 

在 校园 网 的 应 用 当中 MAC 地 址 的 盗用 是 最 为 经 常 的 一 种 非法 手段 ,用 户 在 认证 通过 
以 后 将 自己 的 MAC 地 址 进行 修改 ,然后 再 进行 一 些 非法 操作 。 在 宿舍 区 网 络 的 设计 中 针 
对 该 问题 ,在 接 人 层 交 换 机 上 提供 防止 MAC 地 址 盗用 的 功能 ,用 户 在 更 改 MAC 地 址 后 ， 
E152 系列 交换 机 对 于 与 绑 定 MAC 地 址 不 相符 的 用 户 将 直接 下 线 , 其 下 线 功 能 是 由 E152 
系列 交换 机 来 实现 的 ,不 依赖 于 802. 1x 客户 端 ,因此 对 于 学 生 自 己 从 网 上 下 载 的 802. 1x 的 
客户 端 来 说 ,E152 系列 交换 机 仍然 可 以 对 其 进行 有 效 的 控制 。 
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4. MAC 地 址 反 查 , 防 攻击 特性 

网 络 当 中 存在 大 量 的 攻击 性 的 报 文 ,对 于 用 户 来 说 , 当 网 络 中 出 现 大 量 的 攻击 报 文 进而 
形成 广播 风暴 的 时 候 , 华 为 Quidview 网 管 可 以 实现 MAC 地 址 反 查 功能 ,直接 从 网 管 平台 
可 以 了 解 到 出 现 大 量 垃圾 报 文 的 端口 ,维护 人 员 可 以 直接 通过 网 管 将 该 端口 关闭 ,进而 避免 
网 络 风暴 产生 的 问题 。 

5. 防止 对 DHCP 服务 器 的 攻击 

使 用 DHCP Server 动态 分 配 IP 地 址 会 存在 两 个 问题 : 一 是 DHCP Server 假冒 ,用 户 
将 自己 的 计算 机 设置 成 DHCP Server 后 会 与 局 方 的 DHCP Server 冲突 ; 二 是 用 户 DHCP 
Server, 用 户 使 用 软件 变换 自己 的 MAC 地 址 ,大 量 申请 IP 地 址 ,将 DHCP 的 地 址 池 耗 光 。 
华为 3Com E152 系列 交换 机 支持 多 种 禁止 私 设 DHCP Server 的 方法 。 

(1) Private VLAN 解决 这 个 问题 的 方法 之 一 是 在 桌面 交换 机 上 启用 Private VLAN 
的 功能 。 但 在 很 多 环境 中 这 个 功能 的 使 用 存在 局 限 ,或 者 不 会 为 了 私 设 DHCP 服务 器 的 缘 
故去 改造 网 络 。 

(2) 访问 控制 列表 对 于 有 三 层 功能 的 交换 机 ,可 以 用 访问 列表 来 实现 。 就 是 定义 一 个 
访问 列表 ,该 访问 列表 禁止 源 端口 (source port) 为 67 而 目标 端口 (destination port) 为 68 的 
UDP 报 文通 过 。 之 后 把 这 个 访问 列表 应 用 到 各 个 物理 端口 上 。 

(3) 新 的 命令 因为 它 的 全 局 意义 ,也 为 了 突出 该 安全 功能 ,建议 使 用 如 下 单条 命令 的 
配置 


Service dhcp- offer deny [exclude interface interface- type interfacenumber] 
[interface interface- typeinterface- number | none] 


如 果 输 入 不 带 选 项 的 命令 no dhcp-offer, 那 么 整 台 交 换 机 上 连接 的 DHCP 服务 器 都 不 
能 提供 DHCP 服务 。exclue interface interface-typeinterface-number 是 指 合法 DHCP 服务 
器 或 者 DHCP relay 所 在 的 物理 端口 。 

6. 软件 补充 安全 功能 恶意 用 户 追查 

对 每 个 用 户 分 配 一 个 账户 ,使 用 CAMS 管理 用 户 。 由 CAMS 记录 用 户 每 次 上 网 的 用 
户 名 、 源 IP 地 址 、 上 网 开始 和 结束 时 间 。 然 后 通过 华为 的 网 络 管理 系统 Quidview 的 MAC 
地 址 和 IP 地 址 的 反 向 查找 功能 ,就 可 以 根据 源 IP 或 源 MAC 在 Quidview 网 管 上 查 到 该 用 
户 所 在 的 交换 机 以 及 在 该 交换 机 上 所 接 的 端口 ,通过 这 种 方式 可 以 立刻 定位 用 户 ,方便 对 于 
大 型 网 络 的 管理 ,能 够 方便 快捷 的 防止 恶意 用 户 的 攻击 。 

IP 地 址 次 用 一 直 是 困扰 网 络 管理 人 员 的 一 个 问题 ,IP 防盗 技术 从 开始 单纯 的 绑 定 技术 
向 综合 、 高 效 、 低 成 本 、 易 实施 、 通 用 性 强 的 ,防止 IP 盗用 的 解决 方案 方向 发 展 。 本 文 分 析 了 
IP 地 址 防盗 措施 ,为 解决 IP 地 址 次 用 问题 提供 了 一 些 思路 。 从 实际 出 发 .有 针对 性 地 提出 
几 种 防范 IP 地 址 盗用 的 策略 ,实践 结果 表明 ,网 络 运行 正常 有 序 ,效果 良好 。 


5.10 缓冲 区 溢出 攻击 与 防范 技术 


网 络 防范 技术 的 日 益 成 熟 , 使 木马 、 病 毒 这 类 恶意 代码 的 植 入 变 得 困难 。 网 络 黑客 开始 
针对 系统 和 程序 自身 存在 的 漏洞 ,编写 相应 的 攻击 程序 。 其 中 最 常见 的 就 是 对 缓冲 区 溢出 
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漏洞 的 攻击 ,而 在 诸多 缓冲 区 溢出 中 又 以 堆栈 溢出 的 问题 最 有 代表 性 。 目 前 ,利用 缓冲 区 溢 
出 漏洞 进行 的 攻击 已 经 占 到 了 整个 网 络 攻击 次 数 的 一 半 以 上 。 世 界 上 第 一 个 缓冲 区 溢出 攻 
击 Morris Hf; E) ,发 生 在 十 几 年 前 , 曾 造 成 了 全 球 6000 多 台 网 络 服务 器 瘫痪 。 事 实 上 ， 
缓冲 区 溢出 漏洞 被 攻击 的 现象 目前 已 越 来 越 普 遍 , 各 种 操作 系统 上 出 现 的 此 种 漏洞 都 数 不 
胜 数 。 例 如 ,在 BSD 上 存在 打印 守护 进程 远程 缓冲 区 溢出 漏洞 ;在 Sun OS 上 的 Solaris 
whodo 本 地 缓冲 区 溢出 漏洞 ;世界 上 第 一 个 Linux 病毒 Reman, 其实 就 是 一 个 缓冲 区 溢出 
攻击 程序 ;而 Windows 下 的 IIS4、IIS5 等 版 本 在 处 理 超 长 文件 名 时 ,存在 缓冲 区 溢出 漏洞 。 

对 缓冲 区 溢出 漏洞 攻击 ,可 以 导致 程序 运行 失败 .系统 崩溃 以 及 重新 启动 等 后 果 。 更 为 
严重 的 是 ,可 以 利用 缓冲 区 溢出 执行 非 授 权 指令 ,甚至 取得 系统 特权 ,进而 进行 各 种 非法 操 
作 。 如 何 防止 和 检测 出 利用 缓冲 区 溢出 漏洞 进行 的 攻击 ,就 成 为 防御 网 络 人 侵 以 及 人 侵 检 
测 的 重点 之 一 。 


5.10.1 缓冲 区 溢出 漏洞 的 产生 原因 


1. 缓冲 区 溢出 的 原理 

简单 地 说 ,缓冲 区 溢出 的 原因 是 由 于 字符 串 处 理 函 数 (如 gets \strcpy 等 ) 没 有 对 数组 的 
越界 加 以 监视 和 限制 ,结果 覆盖 了 旧 的 堆栈 数据 。 在 计算 机 内 的 程序 是 按 图 5-8 所 示 的 形 
式 存储 的 。 


内 存 低 端 

一 一 存放 程序 机 器 码 和 只 读数 据 
— c 存放 程序 中 的 静态 数据 
一 一 一 存放 程序 中 的 动态 数据 


内 存 高 端 
图 5-8 程序 在 内 存 中 的 存储 


从 图 5-8 可 以 看 出 ,输入 的 形 参 等 数据 存放 在 堆栈 中 ,程序 是 从 内 存 低 端 向 内 存 高 端 按 
顺序 执行 的 ,由 于 堆栈 的 生长 方向 与 内 存 的 生长 方向 相反 ,因此 在 堆栈 中 压 和 人 的 数据 超过 预 
先 给 堆栈 分 配 的 容量 时 ,就 会 出 现 堆 栈 溢出 ,从 而 使 得 程序 运行 失败 ;如 果 发 生 栈 溢出 的 是 
大 型 程序 还 有 可 能 导致 系统 崩溃 。 

下 面 来 看 一 段 简单 程序 的 执行 过 程 中 对 堆栈 的 操作 和 游 出 的 产生 过 程 ,在 运行 程序 之 
前 ,堆栈 的 状态 如 图 5-9 所 示 。 


内 存 低 端 内 存 高 端 

堆栈 顶部 堆栈 底部 

i Name EBP ret 
&name 


图 5-9 程序 运行 之 初 堆栈 的 状态 


#incluæ < stdio.h> 
int main() 

char name [16]; 

gets (nare) ; 
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for(int i=0;i< 16ggname[i];it+ ) 

printf (,name[i]);} 

编译 上 述 代码 ,输入 “hello world1” 结 果 会 输出 “hello world!1”, 其 中 对 堆栈 的 操作 是 先 
在 栈 底 压 人 返回 地 址 ,接着 将 栈 指针 EBP 入 栈 ,此 时 EBP 等 于 现在 的 ESP, 之 后 ESP 减 
16, 即 向 上 增长 16 个 字 节 ,用 来 存放 namel ] 数 组 .现在 堆栈 的 布局 如 图 5-10 所 示 。 


内 存 低 端 内 存 高 端 
堆栈 顶部 堆栈 底部 
hello world\0 
I! Name EBP ret 
&name 


图 5-10 ”运行 完 gets(name) 后 堆栈 的 状态 


最 后 ,从 main 返回 ,弹出 ret 里 的 返回 地 址 并 赋值 给 EIP,CPU 继续 执行 EIP 所 指向 的 命 
令 。 如 果 输 入 的 字符 串 长 度 超过 16 个 字 节 ,例如 输入 : hello world! AAAAAAAAAAA, 则 当 
执行 完 gets(name) 之 后 ,堆栈 的 情况 如 图 5-11 所 示 。 


内 存 低 端 内 存 高 端 
堆栈 项 部 堆栈 底部 
hello world! AAAAAAAAAAAAAAAAA | AAAA | AAAA | A 
Name EBP Tet 
&name 


图 5-11 缓冲 区 溢出 状态 


由 于 输入 的 字符 串 太 长 ,name 数组 容纳 不 下 ,只 好 向 堆栈 的 底部 方向 继续 写 入 A。 这 
些 A 覆盖 了 堆栈 的 旧 的 元 素 , 从 图 5-10 可 以 看 出 ,EBP,ret 都 已 经 被 A 覆盖 了 。 从 main 
返回 时 ,就 必然 会 把 AAAA 的 ASCII 码 一 一 0x41414141 视 作 返回 地 址 ,CPU 会 试图 执行 
0x41414141 处 的 指令 ,结果 出 现 难以 预料 的 后 果 , 这 样 就 产生 了 一 次 堆栈 溢出 。 现 在 假如 
在 0x41414141 地 址 处 是 一 个 只 有 root 权限 才能 执行 的 命令 或 代码 ,大 家 试想 一 下 ,黑客 是 
不 是 绕 过 了 权限 验证 而 获得 了 root 权限 。 

2. 溢出 字符 串 的 特征 

在 分 析 溢出 字符 串 的 特征 之 前 ,需要 先 大 致 了 解 溢出 字符 串 的 编写 。 溢 出 字符 串 由 若 
干 个 普通 的 ASCI 码 字 符 组 成 ,在 攻击 者 确定 了 缓冲 区 大 小 和 缓冲 区 相对 于 堆栈 开始 地 址 
的 偏 移 量 时 ,溢出 字符 串 只 有 一 个 越界 特征 。 溢 出 字符 串 的 形式 如 图 5-12 所 示 。 


内 存 低 端 内 存 高 端 
堆栈 项 部 堆栈 底部 
SSSSS:… AAAAA … A A 
[! Name EBP ret 
&name 


图 5-12 ”溢出 字符 串 的 形式 


这 时 溢出 字符 串 和 普通 的 字符 串 几 乎 没有 什么 差别 ,很 难 加 以 判断 (几乎 没有 好 办 法 对 
付 这 种 情况 )。 但 当 攻 击 者 不 清楚 缓冲 区 相对 堆栈 开始 地 址 的 偏 移 量 , 为 了 提高 跳 转 地 址 的 
命中 率 (使 得 rec 的 值 等 于 shellcode 的 入 口 地 址 ) .一般 攻 击 者 会 在 其 溢出 字符 串 和 
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shellcode 前 加 入 若干 个 NOP, 它 的 作用 就 是 什么 也 不 做 , 仅 跳 过 一 个 CPU 周期 。 用 来 溢出 
的 字符 串 会 变 成 图 5-13 所 示 的 结构 。 而 在 溢出 字符 串 最 前 面 的 若干 NOP 指令 将 成 为 识别 
这 种 攻击 的 一 大 特征 。 


内 存 低 端 内 存 高 端 

堆栈 顶部 堆栈 底部 
NNNNN… SSSSS … AAAAA A A 

I! Name EBP ret 


&name 


图 5-13 增加 若干 NOP 指令 后 的 溢出 字符 串 


3. 缓冲 区 溢出 漏洞 的 产生 原因 

缓冲 区 溢出 的 根本 原因 在 于 C 语言 本 身 的 一 些 特性 。 从 数据 结构 的 角度 来 说 ,最 根本 
的 原因 是 由 于 char * (或 char[]) 数 据 结构 的 存在 ,导致 了 一 系列 字符 串 存 储 以 及 操作 上 
的 问题 。 而 直接 的 原因 则 是 “由 于 字符 串 处 理 函 数 ( 如 gets strepy 等 ) 没 有 对 数组 的 越界 加 
以 监视 和 限制 "。C 中 大 多 数 缓冲 区 溢出 问题 可 以 追溯 到 标准 函数 库 , 直 接 的 原因 是 不 进行 
自 变量 检查 和 使 用 一 些 有 问题 的 字符 串 操 作 函 数 (strcpy、strcat、sprinf 和 gets)。 程 序 编写 
者 的 经 验 不 足 和 粗心 大 意 使 得 缓冲 区 溢出 漏洞 几乎 无 处 不 在 ,导致 程序 健壮 性 不 够 ,为 缓冲 
区 溢出 攻击 留 下 了 隐患 。 特 别 是 由 于 Internet 的 迅速 发 展 ,各 种 网 络 应 用 程序 层出不穷 ， 
而 其 中 一 个 缓冲 区 溢出 漏洞 则 给 整个 系统 带 来 了 极 大 的 安全 隐患 ,为 黑客 攻击 打开 方便 
ze. 


5.10.2. 缓冲 区 溢出 漏洞 的 危害 性 


缓冲 区 溢出 漏洞 比 其 他 一 些 黑 客 攻 击 手 段 更 具有 破坏 力 和 隐蔽 性 。 这 也 是 利用 缓冲 区 
溢出 漏洞 进行 攻击 日 益 普遍 的 原因 。 它 极 易 使 服务 程序 停止 运行 ,服务 器 死机 其 至 删除 服 
务 器 上 的 数据 。 它 的 隐蔽 性 主要 表现 在 下 面 几 点 : 

CD 漏洞 被 发 现 之 前 一 般 程序 员 是 不 会 意识 到 自己 的 程序 存在 漏洞 (漏洞 的 发 现 者 往 
往 并 非 编 写 程序 的 程序 员 ) » M rf ibi 28. M iU 。 

(2) 用 于 获得 root 权限 而 执行 的 那 段 代码 (shellcode) 都 很 短 ,执行 时 间 也 非常 短 ,很 难 
在 执行 过 程 中 被 发 现 。 

G) 由 于 漏洞 存在 于 防火 墙 内 部 ,攻击 者 所 发 送 的 字符 串 一 般 情 况 下 防火 墙 不 会 阻拦 ， 
而 攻击 者 通过 执行 shellcode 所 获得 的 是 本 来 不 被 允许 或 没有 权限 的 操作 ,在 防火 墙 看 来 也 
是 合理 合法 的 。 防 火 墙 在 对 远程 缓冲 区 溢出 攻击 的 监测 方面 有 先天 的 不 足 。 

(4) 一 个 完整 的 shellcode 的 执行 并 不 一 定 会 使 系统 报告 错误 ,并 可 能 不 影响 正常 程序 
的 运行 。 

C5) 攻击 的 随机 性 和 不 可 预测 性 使 得 防御 攻击 变 得 异常 艰难 ,而 没有 攻击 时 ,攻击 程序 
并 不 会 有 什么 变化 (这 和 木马 有 着 本 质 的 区 别 ) ,这 也 是 堆栈 溢出 最 难 被 发 现 的 原因 ;最 后 ， 
缓冲 区 溢出 漏洞 的 普遍 存在 ,使 得 针对 这 种 漏洞 的 攻击 防不胜防 (各 种 补丁 程序 也 可 能 存在 
着 这 种 漏洞 ) 。 

另外 ,还 存在 着 攻击 者 故意 散布 存在 漏洞 的 应 用 程序 的 可 能 。 攻 击 者 还 可 以 借用 木马 
植 人 的 方法 ,故意 在 被 攻击 者 的 系统 中 留 下 存在 漏洞 的 程序 ,这 样 做 不 会 因为 含有 非法 字段 
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而 被 防火 墙 拒绝 ;或 者 利用 病毒 传播 的 方式 来 传播 有 漏洞 的 程序 ,和 病毒 不 同 的 是 , 它 在 一 
个 系统 中 只 留 下 一 份 拷贝 (要 发 现 这 种 情况 几乎 是 不 可 能 的 ) 。 


5.10.3 防范 及 检测 方法 


1. 缓冲 区 溢出 防御 方法 

缓冲 区 溢出 攻击 占 了 远程 网 络 攻 击 的 绝 大 多 数 ,这 种 攻击 可 以 使 得 攻击 者 有 机 会 获得 
一 台 主 机 的 部 分 或 全 部 的 控制 权 。 如 果 能 有 效 地 消除 缓冲 区 溢出 的 漏洞 , 则 很 大 一 部 分 的 
安全 威胁 可 以 得 到 缓解 。 常 用 的 防御 措施 有 : 

1) 编写 正确 的 代码 

写 出 正确 的 程序 是 非常 重要 的 工作 ,特别 像 编 写 C 语言 那 种 风格 自由 而 容易 出 错 的 程 
序 , 这 是 由 于 追求 性 能 而 忽视 正确 性 的 传统 引起 的 。 人 们 花 了 很 长 的 时 间 知 道 了 如 何 编写 
安全 的 程序 ,但 有 安全 漏洞 的 程序 依旧 出 现 。 最 简单 的 方法 就 是 用 grep 来 搜索 源 代 码 中 容 
易 产 生 漏 洞 的 库 的 调用 ,如 对 strepy 和 sprintf 的 调用 ,这 两 个 函数 都 没有 检查 输入 参数 的 
长 度 。 事 实 上 ,各 个 版 本 C 的 标准 库 均 有 这 样 的 问题 存在 。 此 外 ,还 有 一 些 高 级 的 查 错 工 
具 , 如 fault injection 等 。 这 些 工 具 的 目的 在 于 通过 人 为 随机 地 产生 一 些 缓冲 区 溢出 来 寻找 
代码 的 安全 漏洞 。 还 有 一 些 静态 分 析 工 具 用 于 侦 测 缓冲 区 溢出 的 存在 。 编 写 时 重复 检查 代 
码 的 漏洞 可 以 使 程序 更 加 完美 和 安全 。 

2) 非 执行 的 缓冲 区 

通过 使 被 攻击 程序 的 数据 段 地 址 空间 不 可 执行 ,从 而 使 得 攻击 者 不 可 能 执行 缓冲 区 中 
被 植 人 的 攻击 程序 代码 ,这 种 技术 称 为 非 执行 的 缓冲 区 技术 。 在 早期 的 UNIX 系统 设计 
中 ,只 允许 程序 代码 在 代码 段 中 执行 。 但 是 近来 的 UNIX 和 Windows 系统 由 于 要 实现 更 好 
的 性 能 和 功能 ,往往 在 数据 段 中 动态 地 放 入 可 执行 的 代码 ,这 也 是 缓冲 区 溢出 的 根源 。 为 了 
保持 程序 的 兼容 性 ,不 可 能 使 得 所 有 程序 的 数据 段 不 可 执行 。 但 是 可 以 设 定 堆栈 数据 段 不 
可 执行 ,这 样 就 可 以 保证 程序 的 兼容 性 。Linux 和 Solaris 都 发 布 了 有 关 这 方面 的 内 核 补 
丁 。 因 为 几乎 没有 任何 合法 的 程序 会 在 堆栈 中 存放 代码 ,这 种 做 法 几乎 不 产生 任何 兼容 性 
问题 。 

3) 数组 边界 检查 

前 面 两 种 措施 虽然 都 对 缓冲 区 溢出 攻击 有 一 定 的 防范 ,但 各 有 缺陷 。 例 如 , 非 执行 堆栈 
的 保护 可 以 有 效 地 处 理 把 代码 植 入 自动 变量 的 缓冲 区 溢出 攻击 ,但 对 于 其 他 形式 的 攻击 则 
没有 效果 。 通 过 引用 一 个 驻 留 程 序 的 指针 ,就 可 以 跳 过 这 种 保护 措施 。 其 他 的 攻击 可 以 采 
用 把 代码 植 人 堆 或 者 静态 数据 段 中 来 跳 过 保护 ;一 些 查 错 工 具 可 以 帮助 程序 员 开 发 更 安全 
的 程序 ,但 由 于 C 语言 的 特点 ,这 些 工 具 不 可 能 找 出 所 有 的 缓冲 区 溢出 漏洞 。 因 此 侦 错 技 
术 只 能 用 来 减少 缓冲 区 溢出 的 可 能 ,并 不 能 完全 地 消除 它 的 存在 。 数 组 边界 检查 能 防止 所 
有 的 缓冲 区 溢出 的 产生 和 攻击 。 这 是 因为 只 要 数组 不 被 溢出 ,溢出 攻击 也 就 无 从 谈 起 。 为 
了 实现 数组 边界 检查 , 则 所 有 的 对 数组 的 读 写 操作 都 应 当 被 检查 以 确保 对 数组 的 操作 在 正 
确 的 范围 内 。 最 直接 的 方法 就 是 检查 所 有 的 数组 操作 。 

4) 程序 指针 完整 性 检查 

程序 指针 完整 性 检查 和 边界 检查 有 略微 的 不 同 。 与 防止 程序 指针 被 改变 不 同 , 程 序 指 
针 完 整 性 检查 在 程序 指针 被 引用 之 前 检测 到 它 的 改变 。 因 此 ,即便 一 个 攻击 者 成 功 地 改变 
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了 程序 的 指针 ,由 于 系统 事先 检测 到 了 指针 的 改变 ,这 个 指针 将 不 会 被 使 用 。 与 数组 边界 检 
查 相 比 , 这 种 方法 不 能 解决 所 有 的 缓冲 区 溢出 问题 ;采用 其 他 的 缓冲 区 溢出 方法 就 可 以 避免 
这 种 检测 。 但 是 这 种 方法 在 性 能 上 有 很 大 的 优势 ,而 且 在 兼容 性 也 很 好 。 

2. 缓冲 区 溢出 检测 方法 

上 述 各 种 缓冲 区 溢出 攻击 防范 措施 , 均 需 耗费 大 量 的 系统 资源 ,这 样 就 会 使 系统 的 运行 
效能 大 打折 扣 。 通 过 上 面 对 缓 冲 区 溢出 攻击 的 分 析 可 知 ,缓冲 区 溢出 攻击 有 两 个 显著 特点 : 

(1) 传送 给 被 攻击 程序 的 输入 参数 的 长 度 在 正常 情况 和 受到 攻击 时 存在 很 大 的 差异 。 
由 于 要 将 Shellcode 代码 作为 输入 参数 ,所 以 攻击 时 输入 参数 的 长 度 通常 要 比 正常 情况 下 长 
得 多 ,而 且 Shellcode 中 包含 了 很 多 二 进 制 代码 。 

(2) 攻击 程序 要 取得 并 修改 程序 的 返回 地 址 。 

根据 上 述 两 点 ,基于 PARAD(Parameter And Return Address Detection) 算 法 ,设计 了 
一 系统 监视 器 ,其 工作 原理 如 下 : 

CD 检查 用 户 提 交 的 函数 调用 中 输入 参数 (in-put parameter,INPA) 的 长 度 , 若 参数 过 长 
(正常 情况 下 参数 的 长 度 大 约 为 10 一 50 个 字符 ), 且 经 分 析 发 现 其 中 车 有 很 多 二 进 制 代码 ， 
那么 很 有 可 能 存在 缓冲 区 溢出 攻击 ,立即 中 止 程序 。 这 种 办 法 可 以 有 效 检测 防范 缓冲 区 洲 
出 攻击 ,在 攻击 程序 植 和 人 攻击 代码 前 就 将 其 截获 ,系统 开销 小 ,效率 高 。 

@ 有 的 攻击 过 程 并 非 运用 植 人 代码 方式 ,而 是 利用 系统 中 已 存在 的 代码 ,攻击 者 所 要 
做 的 只 是 对 代码 传递 一 些 参数 ,然后 使 程序 跳 转 到 攻击 目标 。 因 此 ,只 要 保护 返回 地 址 不 被 
修改 ,就 可 以 保护 系统 免 受 攻击 。 工 作 原 理 为 : 在 函数 调用 时 随机 在 数据 段 中 设 定 一 段 空 
白 区 域 作为 返回 地 址 的 备份 , 称 为 返回 地 址 检测 库 (Return Address Detecting Areas. RA- 
DA)。 为 了 保护 返回 地 址 备份 ,函数 调用 时 先 将 返回 地 址 与 “检举 字 ”(Canary Word, CW) 
异 或 ,再 将 结果 压 和 人 RADA; 当 函数 调用 返回 时 ,首先 将 RADA 中 的 值 与 “检举 字 ” 异 或 ,再 
与 返回 地 址 比较 ,相等 则 正常 返回 ;否则 报警 ,终止 程序 执行 。 因 此 ,即使 RADA 中 地 址 被 
恶意 修改 也 无 法 得 到 正确 的 结果 。 

该 算法 将 输入 参数 的 检测 与 返回 地 址 检测 结合 起 来 ,在 大 部 分 植 入 攻击 代码 型 攻击 程 
序 企图 利用 缓冲 区 漏洞 攻击 系统 之 前 将 其 截获 ;对 其 余 攻击 程序 ,由 于 已 将 地 址 备份 ,并 将 
地 址 作 了 保护 ,返回 时 车 检测 到 返回 地 址 和 备份 地 址 不 符 则 说 明 有 攻击 程序 修改 了 返回 地 
址 ,终止 程序 运行 。 


5.11 拒绝 服务 攻击 与 防范 技术 


网 络 技术 和 信息 技术 的 飞速 发 展 和 广泛 应 用 ,给 人 们 的 生产 、 生 活 、 学 习 等 带 来 了 实惠 
和 方便 ,与 此 同时 , 随 着 系统 规模 的 不 断 增 大 和 人 们 对 互联 网 依赖 的 增强 ,互联 网 所 面 对 的 
安全 威胁 及 风险 也 越 来 越 多 ,如 病毒 .蠕虫 .垃圾 邮件 .黑客 攻击 .数据 泄密 、 误 用 等 。 其 中 ， 
黑客 的 攻击 行为 是 最 不 可 预测 、 最 不 容易 控制 和 解决 的 问题 。 互 联网 发 展 史 上 的 许多 重大 
安全 事件 ,都 是 来 自 于 同一 种 攻击 行为 ,这 就 是 通常 所 说 的 拒绝 服务 (DoS) 攻 击 和 分 布 式 拒 
绝 服务 (DDoS) 攻 击 。DoS 攻击 和 DDoS 攻击 是 目前 开放 网 络 面临 的 最 大 威胁 ,也 是 互联 网 
多 年 来 一 直 未 有 效 根治 的 一 种 奖 疾 。DoS 攻击 也 给 各 行 各 业 造 成 了 巨大 的 损失 。 
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5.11.1 拒绝 服务 攻击 基本 概念 


Dos 攻击 就 是 让 目标 系统 停止 提供 服务 或 是 终止 响应 的 一 种 攻击 手段 。 一 般 来 说 都 是 
针对 网 络 上 所 提供 的 各 种 服务 ,如 Web, DNS, FTP, E-mail 等 ,当然 也 有 直接 针对 操作 系 
统 、 网 络 基础 设施 ,如 防火 墙 .路 由 器 、 链 路 等 的 攻击 。 

1. 拒绝 服务 攻击 的 基本 概念 

DoS 造成 的 攻击 行为 称 为 DoS 攻击 ,其 目的 是 使 计算 机 或 网 络 无 法 提供 正常 的 服务 。 
最 常见 的 DoS 攻击 有 计算 机 网 络 带 宽 攻 击 和 连通 性 攻击 。 带 宽 攻 击 指 以 极 大 的 通信 和 量 冲 
击 网 络 , 使 得 所 有 可 用 网 络 资源 都 被 消耗 列 尽 ,最 后 导致 合法 的 用 户 请 求 无 法 通过 。 

连通 性 攻击 指 用 大 量 的 连接 请 求 冲击 计算 机 ,使 得 所 有 可 用 的 操作 系统 资源 都 被 消耗 
殖 尽 ,最 终 计算 机 无 法 再 处 理 合法 用 户 的 请 求 。 常 用 攻击 手段 有 :同步 洪流 、WinNuke、 死 
亡 之 Ping, Echl 攻击 、ICMP/SMURF, Finger 炸弹 、Land 攻击 、Ping 洪流 、Rwhod, tearDrop、 
TARGA3. UDP 攻击 .OOB 等 。 

2. 分 布 式 拒绝 服务 攻击 

DDoS 攻击 指 借助 于 客户 /服务 器 技术 ,将 多 个 计算 机 构成 受 控 的 僵尸 网 络 ,联合 起 来 
作为 攻击 平台 ,对 一 个 或 多 个 目标 发 动 DoS 攻击 ,从 而 成 倍 地 提高 拒绝 服务 攻击 的 威力 。 
通常 ,攻击 者 使 用 一 个 偷窃 账号 将 DDoS 主 控 程序 安装 在 一 个 计算 机 上 ,在 一 个 设 定 的 时 间 
主 控 程序 将 与 大 量 代理 程序 通信 ,代理 程序 已 经 被 安装 在 Internet 上 的 许多 计算 机 上 。 代 
理 程序 收 到 指令 时 就 发 动 攻 击 。 利 用 客户 /服务 器 技术 , 主 控 程 序 能 在 几 秒 钟 内 激活 成 百 上 
千 次 代理 程序 的 运行 。 常 用 攻击 手段 如 : Trinoo、TFN、Stacheldraht、TFN2K、 Blitznet、 
Fap i,Shaft, Trank 攻击 等 。 

3. 分 布 式 反弹 拒绝 服务 攻击 

分 布 式 反弹 拒绝 服务 (Distributed Reflection Denial of Service) 攻 击 者 可 以 通过 反弹 技 
术 使 人 们 对 DDoS 攻击 更 难以 防御 一 一 利用 反弹 服务 器 反弹 DDoS 的 洪水 包 , 也 就 是 说 , 通 
过 发 送 大 量 的 欺骗 请 求 数据 包 ( 来 源 伪造 地 址 为 victim, 受 害 服务 器 或 目标 服务 器 ) 给 
Internet 上 大 量 的 服务 器 群 ,而 这 些 服务 器 群 收 到 请 求 后 将 发 送 大 量 的 应 答 包 给 victim。 
结果 是 原来 用 于 攻击 的 洪水 数据 流 被 大 量 的 服务 器 所 稀释 ,并 最 终 在 受害 者 处 汇集 为 洪水 ， 
使 受害 者 更 难以 隔离 攻击 洪水 流 , 并 且 更 难以 用 Traceback 跟踪 技术 去 找到 洪水 流 的 来 源 。 
反弹 服务 器 是 指 , 当 收 到 一 个 请 求 数据 报 后 就 会 产生 一 个 回应 数据 报 的 主机 。 


5.11.2. 攻击 原理 


DoS 的 攻击 方式 有 很 多 种 ,最 基本 的 DoS 攻击 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 
服务 资源 ,从 而 使 合法 用 户 无 法 得 到 服务 的 响应 。 

DDoS 攻击 手段 是 在 传统 的 DoS 攻击 基础 之 上 产生 的 一 类 攻击 方式 。 单一 的 DoS 攻 
击 一 般 是 采用 一 对 一 方式 的 , 当 攻 击 目 标 CPU 速度 低 、 内 存 小 或 者 网 络 带 宽 小 等 各 项 性 能 
指标 不 高 它 的 效果 是 明显 的 。 随 着 计算 机 与 网 络 技术 的 发 展 , 计 算 机 的 处 理 能 力 迅速 增长 ， 
内 存 大 大 增加 ,同时 也 出 现 了 千 兆 级 别 的 网 络 ,这 使 得 DoS 攻击 的 困难 程度 加 大 了 ,目标 对 
恶意 攻击 包 的 “消化 能 力 ” 加 强 了 不 少 。 这 时 候 分 布 式 的 拒绝 服务 攻击 手段 就 应 运 而 生 ， 
DDoS 就 是 利用 更 多 的 僵尸 主机 甚至 是 大 规模 的 僵尸 网 络 来 发 起 进攻 , 比 从 前 更 大 的 规模 
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来 进攻 受害 者 。 
目前 , 绝 大 多 数 拒绝 服务 攻击 都 是 基于 分 布 式 的 拒绝 服务 攻击 。 为 了 组 织 或 者 发 动 一 
次 DDoS 攻击 ,攻击 者 往往 需要 事先 控制 一 定数 量 的 僵尸 主机 ,并 在 僵尸 主机 上 植 和 人 相应 的 
DDoS 攻击 程序 (这 些 僵 尸 主机 一 般 是 黑客 在 此 之 前 通过 其 他 一 些 攻 击 手段 取得 了 主机 的 
一 定 的 控制 权限 ,目前 甚至 有 黑客 专门 出 卖 或 出 租 此 类 俗称 为 “肉鸡 ”的 僵尸 主机 ) 。 
被 DDoS 攻击 时 一 般 会 出 现 以 下 现象 : 
。 被 攻击 主机 上 有 大 量 等 待 的 TCP 连接 ;网 络 中 充斥 着 大 量 的 无 用 的 数据 包 , 源 地 址 
为 假 。 
。 制造 高 流量 无 用 数据 ,造成 网 络 拥塞 ,使 受害 主机 无 法 正常 和 外 界 通信 。 
。 利用 受害 主机 提供 的 服务 或 传输 协议 上 的 缺陷 ,反复 高 速 地 发 出 特定 的 服务 请 求 ， 
使 受害 主机 无 法 及 时 处 理 所 有 正常 请 求 。 
。 严重 时 会 造成 系统 死机 。 
目前 较为 常见 的 DDoS 攻击 Smurf 的 攻击 原理 如 图 5-14 所 示 。 
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图 5-14 DDoS 攻击 Smurf 的 攻击 原理 示意 图 


5.11.3 抵御 攻击 的 技术 手段 


到 目前 为 止 ,防御 基于 流量 型 的 DDoS 攻击 还 是 比较 困难 的 。 首 先 , 这 种 攻击 的 特点 是 
它 利 用 TCP / IP 协议 的 漏洞 ,除非 不 用 TCP / IP, 才 有 可 能 完全 抵御 住 DDoS 攻击 。 不 过 
即使 它 难于 防范 ,实际 上 防止 DDoS 并 不 是 绝对 不 可 行 的 事情 。 从 技术 上 来 说 ,可 以 从 以 下 
几 个 方面 来 增加 和 抵御 来 自 DDoS 攻击 的 威胁 。 

1. 评估 加 固 、 未 雨 绸 缪 

由 于 DDoS 主要 是 通过 占用 消耗 系统 的 正常 处 理性 能 来 导致 系统 的 拒绝 服务 ,因此 , 通 
过 对 系统 进行 必要 的 优化 .加 固 等 ,可 以 提高 系统 对 DDoS 攻击 的 承受 能 力 并 屏蔽 掉 部 分 
DDoS 攻击 。 系 统 的 优化 和 加 固 主要 包括 主机 、 网 络 设备 、 网 络 结构 等 。 

(1) 网 络 结构 优化 .加 固 。 好 的 网 络 结构 设计 和 配置 ,能够 消除 网 络 结构 不 合理 带 来 的 
被 DoS 或 DDoS 攻击 的 安全 隐患 ,也 能 够 更 好 地 实施 更 高 层次 的 安全 规划 。 

(2) 主机 系统 评估 加 固 。 完 整 , 全 面 发 现 并 修补 网 内 系统 主机 的 漏洞 和 安全 隐患 ,杜绝 
基于 漏洞 传播 的 蠕虫 和 DoS 或 DDoS 攻击 。 

G) 网 络 设备 评 佑 加固。 完整, 全面 发 现 并 修补 网 内 路 由 器 、 交 换 机、 防火墙 等 网 络 设 
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备 的 漏洞 和 安全 隐患 ,优化 安全 配置 ,增强 网 络 设备 抗 DoS 或 DDoS 攻击 的 能 力 。 

2. 分 布 检测 、 重 在 发 现 

由 于 目前 防止 Dos 和 DDoS 攻击 的 技术 有 限 , 而 且 针 对 不 同 的 DoS 和 DDoS 攻击 其 防 
御 的 措施 不 同 ,因此 ,在 第 一 时 间 发 现 DoS 和 DDoS 攻击 的 行为 ,定位 其 来 源 和 攻击 特征 是 
解决 问题 的 首要 条 件 。 检 测 DDoS 攻击 的 主要 方法 有 以 下 几 种 : 

CD 异常 流量 分 析 系 统 。 当 网 络 的 通信 和 量 突 然 急剧 增长 或 者 充斥 一 些 异常 流量 ,导致 
正常 业务 受 影 响 时 ,可 以 对 这 些 通信 流量 进行 检测 和 分 析 ,发 现 问题 , 防 患 于 未 然 。 

(2) 使 用 DDoS 检测 工具 。 攻 击 者 首先 要 探测 和 扫描 目标 系统 的 情况 ,然后 利用 一 些 
相应 的 攻击 手段 和 技术 进行 攻击 。 网 络 人 侵 检 测 系统 可 以 截获 及 分 析 系 统 中 的 数据 流量 ， 
可 以 检查 到 攻击 者 的 扫描 行为 并 可 以 识别 出 典型 的 DDoS 攻击 行为 及 工具 。 

扫描 器 或 防 病毒 工具 可 以 发 现 攻 击 者 植 人 系统 的 代理 程序 ,并 将 其 系统 中 删除 ,从 而 避 
免 自己 的 系统 被 他 人 用 作 非 法 攻击 的 僵尸 主机 。 每 当 有 新 的 DDoS 发 明 出 来 ,当前 的 
DDoS 工具 就 将 过 时 ,或 者 它 对 现存 的 DDoS 进行 修改 而 逃避 检查 ,要 选择 最 近 更 新 的 扫描 
工具 版 本 。 

3. 积极 防御 、 主 动 处 理 

随 着 DDoS 攻击 事件 的 愈演愈烈 ,目前 针对 一 些 主流 的 典型 DDoS 攻击 手段 已 经 有 了 
相应 的 解决 方案 和 产品 。 

1) 主机 /个 人 防火 墙 ( 普 通用 户 ) 

针对 一 般 的 个 人 或 者 主机 用 户 ,鼓励 安装 一 个 基本 的 个 人 版 防火 墙 产 品 。 

2) 网 关 级 DDoS 防护 (企业 .部 门 用 户 ) 

很 多 企业 及 部 门 级 用 户 都 有 外 连 互 访 及 对 外 提供 Web, E-mail, FTP 等 服务 的 需求 ,而 
这 些 关 键 应 用 及 服务 往往 会 成 为 黑客 DDoS 攻击 的 典型 目标 。 大 多 数 企 业 及 部 门 都 会 考虑 
在 外 部 互联 网 络 出 口 及 这 些 关键 服务 器 前 部 署 防火 墙 等 产品 进行 主动 防护 。 目 前 一 些 主流 
的 硬件 防火 墙 产 品 都 具备 一 定 的 DDoS 防护 能 力 , 因 此 ,对 此 类 用 户 而 言 ,通过 此 类 具备 
DDoS 防护 功能 网 关 类 防护 产品 来 提高 系统 的 抗 DDoS 攻击 能 力也 是 个 不 错 的 选择 。 

3) SE iE / E [8] —— DDoS 攻击 主动 防护 体系 (运营 商 ) 

SEE Je CE TE Id £6 rp Re nae 61 E E RC RIA Y EL OSEE OH SERE AI RT 
见 的 , 它 并 不 提供 任何 实际 的 服务 。 但 是 入 侵 者 通过 扫描 端口 之 类 的 方法 探测 到 蜜 钢 的 存 
在 ,从 而 蜜 钢 成 功 地 吸引 了 入 侵 者 的 注意 力 , 并 记录 下 入 侵 行 为 ,起 到 了 了 解 入 侵 手 段 的 作 
用 。 但 一 般 的 蜜 饶 系 统 往往 交互 性 较 低 ,能 收集 到 的 入 侵 行 为 事件 也 相对 较 少 。 

随 着 Vmware 等 虚拟 技术 的 发 展 , 在 蜜 缸 技术 基础 上 逐渐 发 展 出 交互 性 更 高 ,能 收集 
更 多 有 用 信息 的 蜜 网 技术 。 通 过 Vmware 等 虚拟 技术 ,可 利用 有 限 的 投资 虚拟 出 不 同 的 操 
作 系 统 、 组 网 结构 ,甚至 是 模拟 提供 业务 ,从 而 吸引 到 更 多 的 攻击 行为 获取 更 多 的 信息 ,进而 
提供 安全 事件 分 析 及 处 理 依 据 。 

使 用 蜜 钢 / 蜜 网 技术 对 DDoS 进行 防御 有 两 个 思路 :一 是 抑制 攻击 源 , 二 是 攻击 重 定向 。 

(1) 抑制 攻击 源 通过 调整 蜜 钢 对 攻击 源 的 回应 达到 减 慢 攻击 速度 ,阻隔 攻击 扩散 ,其 至 
反攻 击 的 目的 。 

(2) 攻击 重 定向 是 指 将 可 疑 数据 包 由 实际 攻击 目标 重 定向 到 蜜 饶 系 统 , 既 避免 了 目标 
主机 遭受 攻击 ,也 便于 蜜 钠 收 集 攻 击 信息 。 
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这 也 涉及 蜜 钠 系 统 的 自身 防御 问题 ,对 于 DDoS 这 样 使 用 大 流量 数据 消耗 目标 资源 的 
击 方式 , 蜜 镀 系 统 如 何 保证 自身 不 被 击溃 ? 低 交 互 性 的 蜜 钢 系 统 显 示 出 它 的 优点 ,该 类 蜜 
并 不 能 直接 访问 内 核 而 是 通过 一 个 内 核 套 与 操作 系统 内 核 进行 交互 ,所 有 到 达 的 数据 包 
经 由 内 核 套 复制 给 密 缸 程序 ,内 核对 数据 包 并 没有 实际 的 处 理 , 密 缸 程序 仅仅 模拟 响应 并 不 
会 进行 资源 分 配 ,从 而 保证 了 操作 系统 本 身 的 安全 。 

4) 异常 流量 检测 及 清洗 系统 (运营 商 ) 

随 着 Internet 的 不 断 扩展 和 业务 数据 流量 的 不 断 增 加 ,网 络 中 公开 的 和 潜在 的 安全 漏 
洞 不 断 增 加 ;自动 攻击 软件 以 及 攻击 手段 的 公开 化 ,导致 攻击 者 已 经 无 须 掌握 复杂 、 高 深 的 
网 络 攻击 技术 ,而 实施 攻击 者 的 动机 变 得 恶意 化 ,使 得 网 络 中 的 攻击 行为 变 得 越 来 越 频繁 ， 
并 且 在 技术 上 超过 以 往 的 检测 方法 :也 使 得 网 络 中 的 异常 流量 也 变 得 越 来 越 多 。 

通过 在 网 络 中 部 署 异常 流量 分 析 检 测 及 过 滤 设 备 ,可 极 大 地 净化 网 络 流量 ,提高 网 络 利 
用 效率 ,尤其 是 针对 骨干 网 络 运 营 提 供 商 而 言 , 是 针对 大 规模 DDoS 所 导致 的 异常 流量 及 网 
络 滥 用 的 一 个 比较 不 错 的 解决 方案 。 

异常 流量 清洗 系统 的 主要 目标 是 快速 实现 清除 检测 到 的 网 络 中 异常 流量 和 恶意 的 攻击 

量 , 只 传送 正常 应 用 的 流量 。 从 而 能 够 在 发 生 DDoS 攻击 时 ,保证 正常 业务 和 关键 部 件 的 
er 在 数据 流量 正常 的 时 候 防 DDoS 流量 过 滤 设 备 不 对 被 保护 对 象 进 行 保护 ,没有 任 
何 数据 流 流 经 防 DDoS 流量 过 滤 设 备 , 此 时 防 DDoS 流量 过 滤 设 备 为 离线 设备 。 

4. 综合 防范 协同 解决 

大 多 数 DDoS 攻击 往往 都 是 有 组 织 有 预谋 的 攻击 行为 ,单纯 依赖 于 某 一 种 技术 解决 方 
案 或 是 某 个 人 、 某 个 企业 ,不 可 能 完全 解决 DDoS 的 防护 问题 ,更 不 可 能 对 DDoS 攻击 进行 
跟踪 溯源 ,从 源头 上 解决 DDoS 攻击 威胁 。 需 要 综合 考虑 ,全 面 防 范 。 其 具体 的 防护 思路 和 
步骤 如 图 5-15 所 示 。 


ES 


熟悉 各 种 常见 攻击 的 原理 


检查 系统 中 是 否 存在 相关 漏洞 并 进行 加 固 


部 署 相关 的 检测 和 流量 清洗 设备 
图 5-15 DoS 和 DDoS 防范 总 体 思路 框图 


与 DDoS 作 斗 争 , 不 同 的 角色 有 不 同 的 任务 。 以 下 面 几 种 角色 为 例 : 

1) 网 络 管理 员 

网 管 员 作 为 一 个 内 部 网 的 管理 者 ,往往 也 是 安全 员 。 很 可 能 有 一 些 服务 器 需要 向 外 提 
供 服 务 , 不 可 避免 地 成 为 攻击 的 目标 。 可 以 从 主机 与 网 络 设备 两 个 层面 去 考虑 防御 。 

CD 主机 上 的 设置 。 几 乎 所 有 的 主机 平台 都 有 抵御 DoS 的 设置 ,常见 的 方法 有 :关闭 不 
必要 的 服务 ;限制 同时 打开 的 Syn 半 连 接 数目 ;缩短 Syn 半 连 接 的 time out( 超 时 ) 时 间 ; 及 
时 更 新 系统 补丁 。 

(2) 网 络 设备 上 的 设置 。 网 络 设备 可 以 从 防火 墙 与 路 由 器 上 考虑 。 这 两 个 设备 是 到 外 
界 的 接口 设备 ,在 进行 防 DDoS 设置 的 同时 ,还 要 注意 这 是 以 多 大 的 效率 牺牲 为 代价 的 ,对 
用 户 来 说 是 否 值得 。 
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2) ISP/ICP 管理 员 

ISP/ICP 为 很 多 中 小 型 企业 提供 了 各 种 规模 的 主机 托管 业务 ,在 防 DDoS 时 ,除了 与 企 
业 网 管理 员 一 样 的 手段 外 ,还 要 特别 注意 自己 管理 范围 内 的 客户 托管 主机 不 要 成 为 僵尸 主 
机 。 客 观 上 说 ,这 些 托管 主机 的 安全 性 普遍 是 很 差 的 ,有 的 连 基 本 的 补丁 都 没有 打 , 通 常 来 
说 ISP 的 管理 员 对 托管 主机 是 没有 直接 管理 的 权力 的 ,只 能 通知 客户 来 处 理 。 有 很 多 客户 
与 自己 的 托管 主机 服务 商 配合 得 不 是 很 好 ,造成 ISP 管理 员 明 知 自己 负责 的 一 台 托 管 主机 
成 为 了 僵尸 主机 , 却 没有 什么 办 法 的 局 面 。 因 此 ,需要 管理 员 和 客户 搞 好 关系 ,客户 多 配合 
一 些 ,ISP 的 主机 会 更 安全 一 些 。 

将 客户 的 托管 主机 的 MAC 地 址 在 网 络 设备 中 进行 MAC 5 IP 的 绑 定 ,在 网 络 设备 中 
过 滤 掉 不 可 能 出 现在 网 络 中 的 IP 地 址 (如 在 公 网 上 不 可 能 出 现 私 网 的 IP 地址 ,不 可 能 出 现 
国际 上 被 保留 的 IP 地 址 ) ,进行 源 IP 绑 定 ,都 是 行 之 有 效 的 办 法 。 

3) 网 络 运营 商 

网 络 运营 商 提 供 了 互联 网 存在 的 物理 基础 。 如 果 运 营 商 可 以 很 好 地 合作 ,在 自己 的 路 
由 器 上 进行 源 IP 地 址 的 验证 。 这 种 方法 可 以 阻止 黑客 利用 伪造 的 源 TP 来 进行 DDoS 攻 
击 。 由 于 在 骨干 路 由 器 上 增加 过 多 规则 会 影响 转发 效率 ,可 以 考虑 在 接 入 层 路 由 器 上 进行 
限制 。 

各 个 骨干 网 络 运 营 商 应 建立 起 DDoS 攻击 防护 的 应 急 预案 , 当 发 现 网 络 正在 遭受 
DDoS 攻击 时 ,启动 相关 的 应 急 预 案 , 尽 可 能 追踪 攻击 包 , 及 时 联系 其 他 运营 商 .ISP 和 有 关 
应 急 组 织 ,分 析 受 影响 的 系统 ,确定 涉及 的 其 他 节点 ,从 而 阻挡 来 自己 知 攻击 节点 的 流量 。 
对 来 自 其 他 运营 商 的 异常 流量 ,比较 好 的 防御 措施 就 是 协调 其 他 运营 商 , 对 出 问题 的 一 方 实 
现 路 由 的 访问 控制 和 对 带宽 总 量 的 限制 。 

尽管 多 年 来 全 球 无 数 网 络 安全 专家 都 在 着 力 开 发 DoS/DDoS 攻击 的 解决 办 法 ,但 收效 
不 大 ,其 原因 在 于 : 

(1) DoS 和 DDoS 攻击 利用 了 TCP / IP 协议 本 身 弱 点 。 

(2) 目前 还 没有 一 种 协议 能 够 从 实用 替代 TCP /IP 协议 。 

因此 ,必须 在 上 述 基础 上 进行 研究 ,提出 可 行 的 解决 方案 。 应 该 从 如 下 几 个 方面 对 拒绝 
服务 攻击 进行 积极 的 防范 : 

(1) 周期 性 地 对 设备 进行 全 面 的 评估 加 固 ,避免 成 为 僵尸 主机 。 

(2) 在 网 络 设备 和 访问 控制 设备 上 做 好 地 址 过 滤 工 作 , 防 止 假冒 地 址 的 流量 的 传播 。 

(3) 在 网 络 边 界 做 好 DoS/DDoS 的 攻击 检测 工作 时 刻 留心 最 新 的 安全 公告 ,及 时 打 
补丁 。 

(4) 充分 利用 流量 清洗 ,网 络 限 流 等 技术 手段 。 

O) 多 方 配合 和 协同 ,共同 防御 。 

(6) 企 事业 单位 要 明确 各 类 岗位 的 防御 DoS 和 DDoS 攻击 的 相关 职责 规定 。 防 御 DoS 
和 DDoS 攻击 是 一 个 系统 工程 ,需要 靠 IT 界 各 方 共同 努力 ,积极 防御 ,协同 作战 ,才能 取得 
较 好 的 效果 。 
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1. 影响 Internet 的 安全 因素 有 哪 几 方面 ? 分 别 列 出 各 种 因素 最 常见 的 威胁 。 

2. 试 说 明 TCP/IP 协议 中 的 安全 漏洞 。 

3. Web 服务 器 常见 漏洞 有 哪些 ? 什么 是 跨 站 点 脚本 攻击 ?能 否 举例 说 明 ? 如 果 你 是 
一 个 网 站 开发 人 员 ,在 开发 以 及 服务 器 搭建 过 程 中 应 该 注意 从 哪些 方面 来 防御 Web 的 不 安 
全 因素 ? 

4. 什么 是 缓冲 区 溢出 ? 什么 是 缓冲 区 溢出 攻击 ? Java 语言 是 否 有 缓冲 区 溢出 攻击 ? 
为 什么 ? 参照 本 书 的 样 例 , 举 一 个 缓冲 区 溢出 程序 的 例子 。 

5. 2010 4E 1 H 12 日 百度 被 黑 , 黑 客 对 DNS 服务 器 进行 了 攻击 ,使 访问 者 对 百度 主页 
的 访问 , 跳 转 到 其 他 网 站 主页 。 试 查找 资料 ,说 明 其 攻击 的 原理 。 

6. DDoS 攻击 的 原理 是 什么 ? 对 DDoS 类 型 的 攻击 ,你 有 什么 好 的 提议 ? 
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网 络 操作 系统 是 向 网 络 计算 机 提供 网 络 通信 和 网 络 资源 共享 功能 的 操作 系统 ,是 网 络 
用 户 与 网 络 系统 之 间 的 接口 ,具有 多 用 户 、 多 任务 操作 系统 的 特征 。 目 前 ,运用 广泛 的 网 络 
操作 系统 有 Windows 2000/2003 Server .UNIX、Linux, 它 们 都 存在 着 一 定 的 安全 隐患 ,如 
果 对 这 些 安全 隐患 不 了 解 , 没 有 及 时 采取 相应 措施 ,或 忽视 网 络 操 作 系 统 的 安全 问题 ,就 如 
同 将 家 园 建 于 沙丘 之 上 ,随时 都 有 遭受 毁灭 性 破坏 的 可 能 。 本 章 就 是 从 网 络 操作 系统 的 安 
全 分 析 入 手 ,讨论 网 络 操作 系统 的 安全 防护 ,并 用 实例 讲解 网 络 操作 系统 的 安全 配置 。 

本 章 内 容 主要 有 : 

。 网 络 操 作 系 统 常 见 漏洞 ; 

。 Windows 2003/XP 操作 系统 的 漏洞 分 析 与 防范 ; 

。 UNIX 操作 系统 漏洞 分 析 与 防范 ; 

* Windows 2003 漏洞 扫描 工具 MBSA 的 使 用 ; 

。 UNIX 常用 漏洞 扫描 工具 Nessus 的 使 用 ; 

* Windows 2003 上 搭建 安全 的 FTP 和 Web 服务 器 ; 

* UNIX 上 搭建 安全 的 FTP 和 Web 服务 器 。 


6.1 网 络 操作 系统 安全 概述 


6.1.1 网 络 操作 系统 安全 问题 


网 络 操作 系统 的 安全 是 整个 网 络 系统 安全 的 基础 , 它 涉及 从 硬件 到 软件 ,从 用 户 个 人 信 
息 到 网 络 综合 信息 的 安全 。 与 过 去 相 比 ,如 今 的 操作 系统 性 能 和 安全 保护 的 功能 都 有 了 极 
大 的 提高 ,系统 漏洞 的 补丁 也 增加 了 很 多 。 但 要 想 减少 操作 系统 的 安全 隐患 ,除了 及 时 修补 
漏洞 之 外 ,还 需要 对 操作 系统 子 以 合理 配置 ,管理 和 监控 。 通 常 的 安全 入 侵 事 件 ,多 数 都 归 
因 于 操作 系统 没有 合理 配置 ,或 者 没有 经 常 核查 及 监控 ,或 是 操作 系统 是 以 默认 安全 设置 来 
配置 的 ,因而 极 易 受到 攻击 。 然 而 ,被 动 的 防范 安全 攻击 是 远 远 不 够 的 ,被 攻击 后 青 “ 亡 羊 补 
牢 ” 也 只 能 是 弥补 而 已 。 因 此 ,不 应 该 脱离 攻击 来 谈论 安全 ,只 有 在 了 解 了 入 侵 者 可 能 采取 
的 攻击 手法 后 ,有 针对 性 的 做 好 安全 配置 , 防 患 于 未 然 才能 真正 有 效 地 保护 网 络 操作 系统 的 
安全 。 因 此 ,我 们 首先 要 了 解 常 见 的 操作 系统 安全 问题 , 才 可 “对 症 下 药 ”。 

目前 ,网 络 操 作 系 统 常见 的 安全 问题 有 : 弱 口 令 、 系 统 漏洞 .后 门 程序 安全 策略 不 够 完 
备 或 者 不 适用 于 该 系统 等 ,那么 它们 是 什么 ? 会 给 网 络 操作 系统 带 来 哪些 安全 隐患 呢 ? 下 
面 就 来 一 一 认识 它们 。 

1. KOS 

弱 口 令 是 指 简 单 的 、 易 被 猜测 到 或 易 被 破解 工具 破解 的 口令 。 当 入 侵 者 破解 口令 后 ,他 
可 以 轻而易举 地 进入 系统 ,获取 他 所 需要 的 资源 ;也 可 以 将 系统 打扫 得 干 干净 净 , 让 管理 员 
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抓 不 到 他 入 侵 过 的 蛛丝马迹 ;他 甚至 可 以 向 系统 植 信 大量 的 病毒 或 木马 ,使 系统 处 于 危险 其 
至 随时 崩 演 的 境地 。 

什么 样 的 口令 属于 弱 口 令 呢 ? 我 们 常见 的 弱 口 令 有 以 下 几 类 : 

(1) 使 用 用 户 名 或 用 户 名 的 变化 形式 作为 口令 。 而 今 ,几乎 所 有 的 口令 破解 软件 都 首 
先 会 将 用 户 名 作为 突破 口 ,在 尝试 用 户 名 作为 口令 没有 成 功 之 后 , 它 还 会 尝试 着 变换 用 户 名 
的 顺序 或 添加 些 数字 等 方式 作为 口令 ,所 有 人 工 可 想到 的 变化 形式 ,破解 软件 也 可 以 想 得 
到 ,而 这 种 口令 的 破解 几乎 不 需要 花费 多 少时 间 ; 

(2) 使 用 常用 英语 单词 作为 口令 。 不 少 破解 软件 都 含有 字典 库 ,除非 是 研究 英语 的 学 
者 ,使 用 特别 怪 个 且 完 长 的 单词 作为 用 户 名 , 它 可 能 束手无策 外 ,其 他 的 对 于 破解 软件 而 言 
都 不 是 难事 。 通 常 ,破解 软件 可 以 以 平均 每 秒 1500 个 单词 的 搜索 速度 进行 破解 检查 ,对 于 
20 万 单词 的 字典 库 只 需要 133 秒 便 可 检查 完毕 ; 

G) 使 用 5 位 及 5 位 以 下 的 字符 作为 口令 。 键 盘 上 包括 大 小 写 英 文 ,数字 .控制 符 等 可 
以 作为 口令 的 一 共有 95 个 , 任 选 其 中 5 位 作为 口令 ,就 有 955 种 口令 ,但 对 此 ,破解 软件 最 多 
花费 53 个 小 时 就 可 以 破解 。 若 只 选用 字母 加 数字 的 ,通常 只 需要 6. 23 个 小 时 就 可 以 破解 ; 

(4) 使 用 自己 的 名 字 字 母 加 上 自己 或 亲友 的 生日 作为 口令 。 这 或 许 是 日 常用 户 最 常用 
的 口令 ,这 种 口令 大 都 是 字母 加 数字 的 ,长 度 上 会 增加 不 少 , 也 方便 记忆 ,但 是 它 其 中 却 隐 藏 
着 很 大 的 缺陷 。 仔 细 想 想 ,日 期 只 有 1 一 31 之 间 的 数字 可 用 ,月 份 只 有 1 一 12 的 数字 可 用 ， 
加 上 年 份 , 也 是 只 19x XX 到 200X 可 用 ,如 果 再 进一步 考虑 ,真正 能 实际 使 用 计算 机 的 人 的 
年 龄 应 在 1930— 2005 的 范围 内 ,可 用 数字 也 不 超过 100, 逐 步 细 想 下 来 ,入 侵 者 搜索 所 需要 
的 时 间 也 逐步 缩短 。 

日 常生 活 中 还 有 很 多 其 他 弱 口 令 的 存在 .黑客 们 也 大 都 通过 破解 弱 口 令 的 方法 来 获取 
他 们 所 需要 的 “肉鸡 ”, 下 面 给 出 几 点 防范 措施 : 

CD 不 使 用 默认 口令 或 与 用 户 名 相同 及 相近 形式 的 口令 ; 

(2) 不 使 用 由 字符 重复 组 合 而 成 的 口令 ; 

G) 不 使 用 常见 单词 作为 口令 ; 

(4) 口令 中 不 包含 用 户 及 其 家 人 相关 的 个 人 信息 ; 

(5) 口令 应 该 包括 字母 .数字 及 特殊 符号 三 类 字符 ,每 类 字符 至 少 一 个 , 且 长 度 不 小 
8 位 ; 

(6) 不 在 多 个 应 用 中 使 用 相同 的 口令 ; 

(7) 至 少 每 个 月 更 换 一 次 口令 。 

在 此 ,要 特别 申明 最 后 一 点 的 重要 性 ,因为 再 复杂 的 口令 被 破解 也 只 是 时 间 的 问题 ,并 
且 定 期 的 更 换 可 以 防止 未 被 发 现 的 人 侵 者 继续 使 用 该 口令 。 

2. 系统 漏洞 

系统 漏洞 ,也 称 安 全 缺陷 , 指 操作 系统 软件 在 逻辑 设计 上 的 缺陷 或 在 编写 时 产生 的 错 
误 ,这 个 缺陷 或 错误 可 以 被 人 侵 者 利用 .通过 植 和 木马、 病毒 等 方式 来 控制 目标 主机 或 造成 
一 些 更 具 破坏 性 的 结果 。 

没有 任何 人 的 设计 或 是 程序 的 编写 是 绝对 完美 的 ,因此 ,系统 漏洞 是 不 可 避免 的 ,无 论 
是 硬件 、 软 件 ,或 是 安全 策略 .都 会 有 漏洞 。 但 需要 注意 的 是 ,只 有 会 威胁 到 系统 安全 的 错误 
我 们 才 将 它 定 义 为 漏洞 。 而 在 通常 情况 下 .那些 错误 并 不 会 对 系统 造成 危害 ,只 有 在 被 人 侵 
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者 在 特定 条 件 下 利用 才 会 威胁 到 系统 安全 ,因此 ,更 进一步 讲 , 只 有 能 被 入 侵 者 用 于 威胁 系 
统 安全 的 系统 错误 才 称 为 系统 漏洞 。 

系统 漏洞 是 一 直 存 在 于 系统 之 中 的 ,在 它 未 被 发 现 或 未 及 时 打 补 丁 修补 之 前 都 是 系统 
的 隐患 。 对 入 侵 者 而 言 不 能 找到 或 使 用 系统 中 的 漏洞 是 不 可 能 对 一 个 系统 进行 攻击 的 , 尤 
其 是 对 安全 级 别 较 高 的 系统 。 所 以 人 侵 者 会 想方设法 地 找到 攻击 目标 的 漏洞 ,然后 利用 它 
们 攻击 网 络 ,或 盗窃 有 用 信息 ,或 向 目标 系统 中 灌 和 大量 的 病毒 和 木马 ,造成 目标 系统 运行 
停止 文件 丢失 甚至 崩溃 。 

目前 ,有 很 多 漏洞 扫描 工具 可 以 帮助 管理 员 发 现 系 统 中 的 漏洞 ,如 Microsoft 开发 的 
Baseline Security Analyzer( 基 准 安全 分 析 器 )\GFI LANguard 专业 网 络 漏洞 扫描 器 ,以 及 
普通 用 户 最 常用 的 免费 的 360 安全 卫士 等 ,它们 可 以 对 系统 进行 扫描 并 生成 相应 的 扫描 报 
告 、 分 析 并 提出 建议 , 除 此 之 外 , 它 还 有 一 定 的 数据 管理 功能 。 但 值得 注意 的 是 ,漏洞 扫描 工 
具 是 一 把 双 刃 剑 ,在 管理 员 借 助 于 它 管理 系统 的 同时 ,入 侵 者 也 可 以 借用 它 发 现 系统 中 的 漏 
洞 。 入 侵 者 大 多 会 利用 它 来 寻找 和 利用 众所周知 的 漏洞 和 弱点 , 毕 竞 发 现 一 个 已 知 漏洞 比 
发 现 一 个 未 知 漏洞 容易 很 多 。 因 此 ,为 避免 不 可 预知 的 灾难 性 事件 的 发 生 , 除 了 依靠 漏洞 扫 
描 工 具 而 外 ,管理 员 还 应 及 时 了 解 自 身 网 络 操 作 系统 存 在 哪些 已 知 漏洞 ,做 到 “ 防 患 于 未 然 ”。 

SANS 研究 院 和 联邦 调查 局 (FBT) 的 国家 基础 设施 保护 中 心 (NIPC) 曾 经 发 布 过 一 份 关 
于 “最 危险 的 20 项 安全 漏洞 ?列表 文档 ,用 于 指引 系统 管理 员 关 注 那 些 最 关键 的 漏洞 。 其 中 
包括 了 Web 服务 器 及 服务 .工作 站 服务 `\Windows 远程 访问 服务 .Microsoft SQL Server 、 
Windows 验证 ,Web 浏览 器 ,文件 共享 应 用 .LSAS 泄露 .邮件 客户 端 和 即时 消息 等 10 种 
Windows 系统 中 最 常 被 利用 的 漏洞 ,以 及 BIND 域名 系统 、Web 服务 器 ,验证 ,版 本 控制 系 
统 、 邮 件 传 输 服 务 、 简 单 网 络 管理 协议 (SNMP)、 开 放 安 全 套 接 字 层 (SSL), 企 业 服 务 
NIS/NFS 的 错误 配置 .数据库 .内 核 漏洞 等 10 种 UNIX 及 Linux 环境 下 最 常见 的 漏洞 。 虽 
然 每 年 都 有 数 以 万 计 的 安全 事件 被 投诉 ,但 绝 大 多 数 成 功 的 攻击 都 只 是 利用 了 那 20 项 安全 
漏洞 中 的 一 两 个 。 

3. 后 门 程序 

后 门 程序 通常 是 指 能 避 开 系统 安全 性 控制 或 检查 而 获得 对 系统 的 访问 权 的 程序 。 它 一 
般 包 括 两 种 ,一 是 在 软件 开发 过 程 中 程序 员 用 于 测试 和 维护 各 个 模块 的 后 门 程序 , 它 可 能 是 
程序 员 在 完成 编码 时 忘记 删除 ,或 者 是 方便 日 后 软件 维护 时 使 用 而 有 意 留 下 的 。 但 无 论 如 
何 ,只 要 入 侵 者 发 现 了 它 的 存在 , 它 便 成 为 了 一 个 漏洞 ,为 入侵 者 所 使 用 ;二 是 指 人 侵 者 在 人 
侵 后 在 系统 中 留 下 的 .具有 隐蔽 性 的 、 方 便 长 期 访问 目标 系统 的 后 门 程序 。 

其 实 , 后 门 程序 也 就 是 一 种 登录 系统 的 方法 ,因此 , 它 不 仅 可 以 避 开 安全 控制 访问 系统 ， 
而 且 它 还 有 助 于 入 侵 者 破坏 系统 上 的 安全 控制 。 

普通 的 杀毒 程序 、 安 全 工具 要 查 出 系统 中 的 后 门 程序 是 很 难 的 ,而 这 正 是 入 侵 者 所 喜欢 
的 地 方 一 一 后 门 程序 的 隐蔽 性 ! 虽然 隐蔽 ,但 精明 细心 的 网 络 管理 员 还 是 会 发 现 它 的 踪迹 ， 
于 是 ,后 门 程序 也 在 “ 猫 捉 老鼠 ”的 游戏 中 不 断 升 级 。 后 门 程序 从 最 初 的 简单 单一 逐渐 变换 
到 现今 的 复杂 奇特 ,其 隐蔽 性 也 在 不 断 增 大 。 一 个 简单 的 后 门 入侵 者 可 能 只 是 建立 一 个 新 
登录 账号 或 者 使 用 一 个 较 少 登录 系统 的 账号 ,这 是 很 容易 被 发 现 的 ,管理 员 只 要 检查 系统 账 
户 就 可 以 了 ,而 且 这 是 管理 员 最 常 做 的 工作 。 而 后 ,不 少 入 侵 者 便 改变 使 用 Windows 的 远 
程 桌面 的 初始 端口 3389 ,利用 findpass 之 类 的 经 典 工 具 得 到 管理 员 的 密码 ,使 服务 器 打开 


第 6 章 网 络 操作 系统 安全 分 析 及 防护 


3389 端口 等 服务 。 但 对 此 ,管理 员 使 用 netstat-an 就 能 让 入侵 者 的 连接 暴露 无 遗 。 渐 渐 地 ， 
不 少 人 侵 者 发 现 , 某 个 单一 的 后 门 程序 的 隐蔽 性 都 不 足够 ,于 是 , 嵌 套 使 用 互补 后 门 程 序 这 
一 思路 便 产生 了 ,入 侵 者 不 用 担心 后 门 暴露 的 问题 ,一 个 后 门 被 暴露 了 ,仍然 有 其 他 几 个 后 
门 存在 ,虽然 管理 员 可 以 逐一 发 现 , 或 者 可 以 拔 掉 网 线 、 格 式 化 硬盘 ,无 论 入 侵 者 有 多 厉害 的 
人 入侵 也 无 济 于 事 了 ,但 无 论 选 择 哪 种 方法 付出 的 代价 都 将 是 巨大 的 。 

因此 , 当 入 侵 者 发 现 系 统 中 存在 的 后 门 程序 或 者 在 人 侵 之 后 插入 后 门 程序 后 ,要 制止 入 
侵 者 的 入 侵 是 件 很 难 的 事情 ,因此 ,大 多 数 网 络 管理 员 会 选择 主动 地 预防 入 侵 者 的 第 一 次 人 
侵 ,提高 系统 本 身 的 安全 防护 。 

4. 安全 策略 

安全 策略 是 指 在 一 个 特定 的 区 域 中 ,用 于 提供 一 定安 全 级 别 的 用 于 保护 安全 相关 活动 
的 所 必须 遵守 的 一 套 规则 。 一 个 完整 意义 上 的 安全 策略 需要 严格 的 管理 和 先进 的 技术 两 个 
组 成 部 分 ,以 确保 该 安全 策略 是 适合 本 系统 且 对 于 该 系统 而 言 是 高 效 的 。 

由 上 述 定义 可 知 , 安 全 策略 是 一 套 规 则 。 系 统 的 安全 级 别 越 高 ,这 套 规则 就 要 求 越 完 
善 。 安 全 策略 具体 包括 以 下 内 容 : 

1) 确定 系统 采用 的 安全 体系 

时 间 与 空间 的 对 立 是 计算 机 软 硬 件 设计 中 常 遇 的 一 大 难道 ,如 何 权衡 它们 也 成 为 了 一 
门 科学 。 而 在 确定 一 个 系统 的 安全 体系 时 ,也 需要 考虑 到 它们 之 间 的 关系 。 选 择 了 一 个 安 
全 级 别 较 高 的 安全 体系 ,大 大 降低 了 服务 正常 运行 的 效率 ;或 者 保证 了 服务 运行 的 效率 , 却 
没有 一 个 有 效 的 安全 保障 ,这 二 者 丝 不 可 取 。 如 何在 保证 服务 运行 效率 的 同时 ,又 能 针对 系 
统 业 务 的 关键 方面 设置 有 效 的 安全 体系 , 便 是 安全 策略 中 所 要 确定 的 。 

2) 确定 访问 规则 

根据 系统 业务 的 需要 ,规定 或 授权 用 户 可 以 访问 哪些 资源 .禁止 访问 哪些 资源 ,以 怎样 
的 方式 访问 等 ,用 户 只 能 按照 所 规定 地 进行 访问 ,以 确保 系统 的 资源 被 安全 地 访问 。 

3) 确定 日 常 防护 

一 个 系统 的 日 常 防护 是 细小 且 不 可 或 缺 的 ,如 用 户口 令 设 置 的 要 求 ,用 户口 令 的 更 换 周 
期 设置 ,日 常安 全 检测 方法 及 检测 内 容 , 系 统 备 份 及 备份 周期 ,系统 在 遭 到 破坏 时 是 否 采取 
相应 的 措施 , 若 需要 ,采取 什么 样 的 措施 等 ,都 需要 做 细致 而 周全 的 规定 。 

不 难看 出 ,安全 策略 是 一 个 动态 的 、 延 续 的 过 程 ,需要 网 络 的 安全 管理 团队 适时 地 、 合 理 
地 根据 系统 的 变化 进行 调整 。 安 全 策略 不 够 严密 和 谨慎 ,就 很 容易 被 人 侵 者 找到 突破 口 或 
者 由 于 有 效 使 用 者 的 操作 不 当 造 成 不 可 估计 的 损失 。 因 此 ,一 个 完备 的 安全 策略 不 仅 包括 
被 入 侵 前 的 防御 工作 ,还 包括 入 侵 后 系统 的 修复 工作 ,保证 系统 正常 有 序 的 运行 才 是 系统 管 
理 者 的 真正 目标 。 


6.1.2 网 络 操作 系统 安全 控制 


6.1.1 节 列 举 了 四 个 常见 的 系统 安全 问题 ,而 一 个 系统 的 安全 问题 远 不 仅 如 此 。 由 此 
可 知 一 个 系统 如 果 不 建立 多 种 防守 措施 是 很 容易 被 攻破 的 ,那么 ,该 怎样 对 网 络 操作 系统 进 
行 安全 控制 呢 ? 有 两 个 基本 的 安全 控制 一 一 访问 控制 和 隔离 控制 。 

1. 访问 控制 

访问 控制 是 用 户 和 用 户 组 访问 网 络 资源 时 所 采用 的 安全 机 制 。 它 通过 对 不 同 用 户 或 用 
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户 组 划分 权限 或 来 实现 用 户 或 用 户 组 对 网 络 资源 访问 的 控制 ,保证 了 特定 用 户 对 特定 资源 
的 访问 ,也 阻止 了 非 授权 用 户 对 资源 的 访问 ,从 而 保证 了 网 络 操作 系统 的 安全 。 

访问 控制 可 以 分 为 自主 访问 控制 和 强制 访问 控制 两 类 。 其 中 ,自主 访问 控制 是 指 用户 
对 自身 所 有 的 文件 .数据 等 享有 访问 ,以 及 授予 或 回收 其 他 用 户 对 其 资源 访问 的 权限 ;而 强 
制 访 问 控制 针对 系统 管理 员 而 言 的 ,系统 管理 员 对 系统 的 所 有 用 户 有 强制 管理 的 权力 ,可 决 
定 何 用 户 对 何 资源 享有 访问 权 , 对 何 资源 无 法 进行 访问 等 。 即 使 是 对 于 资源 的 创建 者 , 若 他 
的 访问 权 被 系统 管理 员 强 制 夺取 ,那么 ,该 创建 者 也 无 法 访问 该 资源 。 

访问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 , 它 可 实现 系统 的 七 大 安全 策略 。 

CD 入 网 访问 控制 。 入 网 访问 控制 是 网 络 访问 的 第 一 层 访问 控制 , 它 实 现 了 对 用 户 人 
网 的 时 间 和 和 网 地 点 的 控制 ,其 具体 实现 是 通过 用 户 名 的 识别 与 验证 .用 户口 令 的 识别 与 验 
证 以 及 用 户 账 号 的 默认 限制 检查 等 三 部 分 完成 的 。 

(2) 网 络 权 限 限 制 。 网 络 的 权限 控制 是 针对 网 络 非法 操作 所 提出 的 一 种 安全 保护 措 
施 , 它 控制 了 用 户 和 用 户 组 对 网 络 资源 的 访问 。 

(3) 目录 级 安全 控制 。 管 理 员 可 授予 用 户 目 录 级 的 权限 , 即 用 户 在 目录 一 级 指定 的 权 
限 对 所 有 文件 和 子 目 录 有 效 , 还 可 进一步 指定 用 户 对 目录 下 的 子 目录 和 文件 的 权限 。 对 目 
录 和 文件 的 访问 权限 一 般 有 S 种 : 系统 管理 员 权 限 (Supervisor) \ 读 权限 (Read)、 写 权限 
(Write) ,创建 权限 (Create)、 删 除权 限 (Erase) ,修改 权限 (Modify) ,文件 查找 权限 (File 
Scan) , 存 取 控制 权限 (Access Control) 。 

(4) 属性 安全 控制 。 管 理 员 可 以 给 文件 .目录 等 指定 访问 属性 ,如 只 可 读 、 只 可 写 .可 读 
写 等 。 属 性 安全 控制 可 以 将 给 定 的 属性 与 网 络 服务 器 的 文件 .目录 和 网 络 设备 联系 起 来 。 

G) 网 络 服务 器 安全 控制 。 网 络 服务 器 的 安全 控制 包括 可 以 设置 口令 锁定 服务 器 控制 
台 , 以 防止 非法 用 户 修改 、 删 除 重要 信息 或 破坏 数据 。 除 此 之 外 ,其 安全 控制 还 可 以 设 定 服 
务 器 登录 时 间 限 制 ,非法 访问 者 检测 和 关闭 的 时 间 间 隔 。 

(6) 网 络 监测 和 锁定 控制 。 管 理 员 通 过 对 网 络 实施 审计 机 制 ,使 系统 自动 记录 系统 的 
访问 情况 。 然 后 管理 员 通 过 查看 系统 记录 的 日 志 情 况 ,进行 网 络 监测 。 

CD) 防火 墙 控制 。 防 火 墙 通常 都 安置 在 网 络 边界 上 ,通过 网 络 通信 监控 系统 隔离 内 部 
网 络 和 外 部 网 络 ,以 阻挡 来 自 外 部 网 络 的 入侵 。 

2. 隔离 控制 

隔离 控制 是 对 网 络 中 远程 访问 服务 器 的 每 个 连接 实施 的 网 络 限 制 , 它 可 以 对 远程 客户 
端 ,如 虚拟 专用 网 络 (VPN) 客 户 端 ,提供 阶段 性 的 网 络 访问 。 远 程 客户 端 在 访问 网 络 之 前 
将 处 于 隔离 模式 , 当 其 配置 符合 或 确定 为 符合 组 织 的 网 络 策略 后 , 它 的 隔离 限制 将 会 被 解 
BR ,并且 标准 网 络 策略 也 会 应 用 于 该 连接 。 例 如 ,隔离 限制 可 能 指定 安装 特定 的 防 病毒 软 
件 ,并 使 其 在 远程 客户 端 连接 到 网 络 时 启用 。 

事实 上 ,隔离 控制 对 入 侵 者 没有 防范 作用 。 只 是 由 于 访问 网 络 的 用 户 都 必须 满足 已 定 
义 的 配置 要 求 , 才 可 接 人 网络 。 这 使 得 计算 机 的 配置 可 以 得 到 验证 ,从 而 起 了 一 定 的 安全 防 
护 作 用 。 

隔离 控制 可 以 通过 “隔离 IP 选择 器 ?和 “隔离 会 话 计 时 器 ”等 来 实现 。 其 中 ,隔离 IP 选 
择 器 ?可 以 限制 对 一 组 指定 服务 器 的 访问 ,隔离 会 话 计 时 器 ?可 以 限制 客户 端 在 隔离 模式 下 
保持 连接 的 时 间 ,而 这 些 都 可 以 在 网 络 策略 服务 器 控制 台中 设置 实现 。 


第 6 章 网 络 操作 系统 安全 分 析 及 防护 


网 络 策略 服务 器 是 隔离 控制 的 可 选 组 件 。 在 只 有 少量 远程 客户 端 时 ,可 以 直接 对 每 个 
客户 端 单独 配置 隔离 控制 ,而 不 需要 网 络 策略 服务 器 。 但 如 果 远 程 客户 较 多 时 , 则 可 以 利用 
网 络 策略 服务 器 配置 网 络 策略 ,以 减少 重复 多 次 配置 的 麻烦 ,也 可 以 降低 配置 时 出 现 失误 操 
作 的 概率 。 


6.2 Windows 2003/XP 操作 系统 安全 分 析 与 防护 


6.2.1 Windows 2003/ XP 安全 机 制 


Windows 2003 是 目前 运用 最 广泛 的 网 络 服务 器 平台 ,以 易 用 、 稳 定 和 安全 而 著称 。 下 
面 对 Windows 2003 的 安全 机 制作 初步 分 析 , 以 帮助 我 们 了 解 系统 、 使 用 系统 。 本 节 以 
Windows 2003 为 主要 讲解 内 容 。 

1. 身份 验证 机 制 

身份 验证 是 组 成 系统 安全 的 一 个 基本 要 素 , 它 对 任何 访问 系统 的 用 户 身 份 进行 确认 。 
Windows 2003 的 身份 验证 一 般 包 括 交互 式 登 录 和 网 络 身份 验证 两 种 验证 模式 。 同 时 ,该 系 
统 也 根据 不 同行 业 标 准 的 不 同 要 求 支 持 了 多 种 协议 类 型 的 身份 验证 方法 : 

* Kerberos V5 与 密码 或 智能 卡 一 起 使 用 的 用 于 交互 式 登 录 的 协议 。 

。 用 户 尝试 访问 Web 服务 器 时 使 用 的 SSL/TLS 协议 。 

。 用 户 端 或 服务 器 使 用 早期 版 本 的 Windows 时 使 用 的 NTLM 协议 。 

。 摘要 式 身份 验证 ,这 将 使 凭据 作为 MD5 或 消息 摘要 在 网 络 上 传递 。 

。 Passport 身份 验证 ,用 来 提供 单 点 登录 服务 的 用 户 身 份 验证 服务 。 

单 点 登录 是 Windows 2003 身份 验证 机 制 提供 的 重要 功能 之 一 , 它 在 安全 性 方面 提供 
了 两 个 主要 的 优点 : 对 用 户 而 言 ,使 用 单个 密码 或 智能 卡 可 以 减少 混乱 ,提高 工作 效率 ;对 
管理 员 而 言 ,只 需要 为 每 个 用 户 管理 一 个 账户 ,减少 了 域 用 户 所 要 求 的 管理 。 除 上 述 外 ， 
Windows 2003 还 新 增 了 凭证 管理 器 , 它 为 所 有 的 用 户 凭证 (包括 口令 、 密 码 和 X. 509 证 书 ) 
提供 了 一 个 安全 的 仓库 ,使 得 单一 的 签名 即 可 获得 多 个 领域 的 信任 。 

2. 访问 控制 机 制 

访问 控制 机 制 能 帮助 管理 员 有 效 地 控制 访问 者 对 网 络 上 对 象 的 使 用 权限 ,以 保护 系统 
的 安全 。Windows 2003 的 默认 权限 比 以 前 的 版 本 更 符合 最 小 特权 原则 ,也 增强 了 EFS( 加 
密 文件 报 务 ), 它 给 管理 员 和 用 户 提 供 了 给 多 个 用 户 访问 多 组 加 密 文件 的 可 能 ,还 提供 了 额 
外 的 文件 存储 保护 和 最 大 数量 的 用 户 容量 。 管 理 员 应 当 在 此 基础 上 根据 需要 严格 设置 权限 
和 用 户 权利 ,使 用 强健 的 访问 控制 列表 来 保护 文件 系统 和 注册 表 的 安全 ,以 有 效 地 限制 、 分 
市 用 户 对 对 象 进行 访问 时 的 权限 , 既 能 保证 用 户 能 够 完成 所 操作 的 任务 ,同时 又 能 降低 事 
故 错误 或 攻击 对 系统 及 数据 造成 的 损失 。 与 此 同时 ,Windows 2003 基于 IEEE 802. 1x 规 
范 ,改进 了 以 太 局 域 网 和 无 线 局 域 网 的 安全 性 .促进 了 用 户 和 计算 机 的 安全 认证 和 授权 。 这 
些 改进 也 支持 公 钥 证 书 和 智能 卡 的 自动 注册 .使 得 能 够 对 传统 的 位 于 或 者 横 跨 公共 场所 的 
网 络 进行 访问 控制 。 

3. 审核 策略 机 制 

建立 审核 策略 是 跟踪 潜在 安全 性 问题 的 重要 手段 , 它 可 对 系统 中 的 各 类 事件 跟踪 记录 
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并 写 和 日志, 以 便 管 理 员 进 行 分 析 查 找 系统 、 应 用 程序 故障 和 及 时 发 现 安全 事件 ,并 可 在 出 
现 违反 安全 的 事件 时 提供 有 力 证 据 。 但 审核 事件 占用 服务 器 的 存储 空间 和 CPU 时 间 , 如 
果 设 置 不 当 , 可 能 反 被 攻击 者 利用 进行 拒绝 服务 攻击 。 因 此 在 执行 审核 策略 之 前 需要 创建 
一 个 审核 计划 ,通过 收集 有 限 的 审核 事件 而 获得 足够 的 信息 。 微 软 建议 对 下 面 的 事件 进行 
审核 : 系统 事件 类 别 中 的 成 功 和 失败 事件 .策略 更 改 事件 类 别 中 的 成 功 事 件 .账户 管理 事件 
类 别 中 的 成 功 事件 .登录 事件 类 别 中 的 成 功 事件 ,账户 登录 事件 类 别 中 的 成 功 事件 等 。 当 在 
系统 中 启用 安全 审核 策略 后 ,管理 员 应 经 常 查看 安全 日 志 的 记录 ,和 否则 就 有 可 能 失去 及 时 补 
救 和 防御 的 时 机 。 除 了 安全 日 志 外 ,管理 员 还 要 注意 检查 各 种 服务 或 应 用 的 日 志文 件 。 在 
安装 了 Windows 2003 IIS 6.0 后 ,其 日 志 功 能 默认 是 启动 的 ,可 查看 系统 对 Web 服务 器 的 
HTTP 请 求 , 是 和 人 侵 检 测 的 重要 手段 。 

4. IP 安全 策略 机 制 

IPSec 是 一 种 开放 标准 的 框架 结构 ,通过 使 用 加 密 的 安全 服务 以 确保 在 IP 网 络 上 进行 
保密 而 安全 的 通信 。Windows 2003 中 所 有 的 服务 器 产品 和 客户 端 产品 都 提供 了 对 IPSec 
的 支持 ,增强 了 产品 的 安全 性 、 可 伸缩 性 以 及 可 用 性 ,同时 使 得 系统 配置 .部署 和 管理 都 更 为 
方便 。 在 Windows 2003 中 ,IP 安全 监视 器 是 作为 Microsoft 管理 控制 台 (MMC) 实 现 的 ， 
IPSec 的 功能 也 得 到 了 很 大 的 增强 ,这 些 增强 的 功能 主要 体现 在 以 下 方面 : 

。 支持 使 用 2048 位 Diffie-Hellman 密 钥 交换 。 

。 支持 通过 Netsh 进行 配置 静态 或 动态 IPSec 主 模式 设置 ,快速 模式 设置 .规则 和 配 

置 参 数 。 
。 在 计算 机 启动 过 程 中 可 对 网 络 通信 提供 状态 可 控 的 筛选 ,从 而 提高 了 计算 机 启动 过 
程 中 的 安全 性 。 

。 IPSec 与 网 络 负载 平衡 更 好 地 集成 等 。 

5. 防火 墙 机 制 

防火 墙 是 网 络 系统 的 安全 屏障 ,是 构建 网 络 的 重要 组 成 部 分 。Windows 2003 网 络 操作 
系统 自身 带 有 一 个 可 扩展 的 企业 级 防火 墙 ISA Server, 它 支持 两 个 层级 的 策略 : 阵列 级 策 
略 和 企业 级 策略 。 阵 列 策略 包括 站 点 和 内 容 规则 ,协议 规则 IP 数据 包 筛选 器 、Web 发 布 规 
则 和 服务 器 发 布 规则 。 在 修改 阵列 配置 时 ,该 阵列 内 所 有 的 ISA Server 计算 机 也 都 会 被 修 
改 , 包 括 所 有 的 访问 策略 和 缓存 策略 ;企业 级 策略 进一步 体现 了 集中 式 管理 , 它 允 许 设置 一 
项 或 多 项 应 用 于 企业 网 阵列 的 企业 策略 。 企 业 级 策略 包括 站 点 和 内 容 规 则 以 及 协议 规则 ， 
可 用 于 任何 阵列 ,而 且 可 通过 阵列 自己 的 策略 进行 扩充 。 除 此 之 外 ,Windows 2003 还 新 增 
了 软件 防火 墙 ICF(Internet 连接 防火 墙 ) ,为 网 络 服务 提供 了 基本 的 端口 安全 ,给 关键 的 基 
础 设施 增加 了 一 层 保护 。 

在 Windows 2003 中 ,Microsoft 打破 了 在 操作 系统 上 捆绑 许多 额外 特性 的 传统 ,默认 
情况 下 能 够 运行 的 二 十 多 种 服务 是 被 关闭 或 者 是 使 其 以 更 低 的 权限 运行 的 ,其 中 ,有 两 个 最 
重要 的 安全 特性 革新 是 直接 处 理 IIS 和 Telnet 服务 器 。IIS 和 Telnet 在 默认 情况 下 都 没有 
安装 ,并 且 这 两 个 服务 是 在 两 个 新 账户 下 运行 的 ,新 账户 的 权限 比 正 常 系统 账户 的 权限 要 
低 。 如 果 恶 意 的 入 侵 危及 这 两 个 服务 时 ,这 种 改变 将 直接 改善 服务 器 的 安全 性 ,而 这 些 就 构 
成 了 Windows 2003 安全 机 制 的 新 基础 。 
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6.2.2 Windows 2003/ XP 漏洞 分 析 


任何 系统 都 是 有 漏洞 ,无 论 是 Windows 2003 还 是 Windows XP, 尽 管 它们 在 发 布 时 都 
是 以 其 安全 性 和 稳定 性 而 推广 的 。 下 面 了 解 一 下 Windows 操作 系统 的 一 些 常见 漏洞 。 

1. UPNP 漏洞 

通用 即 插 即 用 (UPNP) ,Microsoft 官方 将 其 解释 为 一 种 用 于 PC 和 智能 设备 (或 仪器 ) 
的 常见 对 等 网 络 连接 的 体系 结构 ,尤其 是 在 家 庭 中 。UPNP 以 Internet 标准 和 技术 (例如 
TCP/IP, HTTP 和 XML) 为 基础 ,使 这 样 的 设备 彼此 可 自动 连接 和 协同 工作 ,从 而 使 网 络 
(尤其 是 家 庭 网 络 ) 对 更 多 的 人 成 为 可 能 。 当 用 户 在 默认 安装 Windows XP 时 ,UPNP 服务 
就 会 被 自动 启动 。 利 用 UPNP,. 入 侵 者 至 少 能 够 进行 三 种 方式 的 人 侵 : 

CD 盗 取 系 统 控制 权 。 入 侵 者 以 不 同 的 速率 向 UPNP 服务 主机 发 送 含 异 常 参数 的 请 
求 包 ,通过 指针 被 覆盖 而 在 目标 主机 上 引起 访问 冲突 ,例如 向 目标 主机 发 送 下 列 会 话 : 


NOTIFY * HTTP/1.1 

HOST:210.255.255.255.10:1900 

CACHE- CONTROL:max- age- 1 

IOCATION:http: //zpupnp.exarple com: 19/upnp. html. 

NT:um:schemas- upnp- org:device:Internet GatewayDevice:l 

NIS:ssdp:alive 

SERVER:EEYE/2001 UENP/1.0 FASSTTON/1.1 

USN:uuid:EEYE 

目标 主机 会 根据 LOCATION 域 中 的 URL 发 起 连接 ,如 果 该 URL 中 的 主机 启动 了 
chargen 服务 ,那么 目标 主机 就 会 不 断 地 进行 分 配 和 释放 内 存 , 从 而 大 量 占用 系统 CPU 资 
源 , 直 至 系统 崩溃 。 

(2) 进行 DoS 攻击 。 入 侵 者 通过 向 运行 了 UPNP 服务 的 系统 的 1900 端口 发 送 一 个 
UDP 包 ,其 中 LOCATION 域 的 URL 指向 一 个 提供 Echo 服务 的 服务 器 ,告知 目标 主机 网 
络 上 提供 Echo 服务 的 服务 器 上 有 一 用 户 需要 UPNP 网 络 设备 。 此 时 目标 主机 就 会 启用 系 
统 的 UPNP 服务 ,并 向 提供 Echo 服务 的 服务 器 发 送 下 载 请 求 , 提 供 Echo 服务 的 服务 器 将 
自动 回复 一 个 信息 包 。 由 于 没有 设备 信息 的 确认 机 制 ,UPNP 会 认为 这 是 设备 信息 ,并 请 
求 更 多 的 信息 文件 ,然后 服务 器 又 会 自动 回复 一 个 包 。 周 而 复 始 , 使 系统 进入 一 个 无 限 的 连 
接 循环 中 ,这 将 导致 系统 无 法 提供 正常 服务 。 

(3) 进行 DDoS 攻击 。UPNP 服务 中 有 一 个 简单 服务 发 现 协 议 (SSDP),SSDP 可 以 使 
一 个 系统 枚 举 出 UPNP 网 络 上 新 安装 设备 上 的 可 用 资源 。 入 侵 者 只 要 向 某 个 存在 大 量 使 
用 Windows XP 主机 的 网 络 发 送 一 个 伪造 的 UDP 报 文 ,就 可 能 强迫 这 些 主机 对 指定 主机 
进行 攻击 。 

2. 账号 锁定 功能 漏洞 

Windows XP 设计 了 上 账号 快速 切换 功能 ,可 以 使 用 户 不 需要 先 退 出 再 登录 等 步 又 便 可 
在 不 同 的 账号 之 间 进 行 快速 地 切换 ,但 是 这 一 方便 的 功能 也 带 来 了 很 大 的 安全 隐患 。 当 用 
户 利用 账号 进行 快速 切换 功能 时 ,系统 会 认为 其 是 一 个 暴力 破解 攻击 ,从 而 造成 全 部 非 管理 
员 账 号 的 锁定 ,从 而 导致 其 他 用 户 没 有 管理 员 的 解禁 不 能 登录 主机 。 
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首先 将 账户 锁定 阔 值 设置 为 3, 其 方法 前 面 已 提 过 。 然 后 进入 系统 控制 面板 ,在 “用 户 
账户 ?对话 框 中 创建 5 个 非 管理 员 用 户 (userl 一 user5) ,如 图 6-1 所 示 。 


[sert 
这 个 名 称 会 出 现在 VORRN [Fi] 菜单 。 


图 6-1 创建 新 账户 


选择 账户 类 型 为 “ 受 限 ” 即 可 创建 账户 。 账 户 创建 好 后 可 进入 账户 为 其 创建 密码 ,如 
图 6-2 所 示 。 
当 5 个 账户 及 其 密码 都 设置 好 后 ,用 userl 


账号 登录 ,使 用 注销 /切换 用 户 快 速 账号 切换 登 | 您 想 更 改 userl 的 账户 的 什么 ? 
录 到 user2 ,并 使 其 连续 3 次 失败 ,此 时 再 试 着 | 目 gD i 
去 登录 user3 ,会 发 现 所 有 的 非 管理 员 账号 均 已 | guesa 

经 锁定 。 snm 


3. DNS 服务 器 漏洞 

域名 系统 DNS 给 人 们 的 网 上 生活 带 来 了 很 
大 的 方便 ,可 是 以 Windows 2000 或 Windows passe 
2003 作为 网 络 操作 系统 的 DNS 服务 器 却 有 着 图 6-2 为 受 限 账户 设置 密码 
极 高 的 安全 漏洞 ,如 Oday 漏洞 。 

如 果 DNS 服务 器 中 存在 Oday 漏洞 ,那么 服务 器 在 工作 时 若 遇 到 非 正 常 的 连接 请 求 ， 
远程 过 程 调用 (RPC) 接 口 就 有 可 能 对 外 开放 管理 员 权 限 。 入 侵 者 就 可 针对 这 个 漏洞 ,向 
服务 器 发 送 一 个 特别 设计 的 RPC 数据 包 , 使 其 获得 系统 管理 员 的 权限 ,可 远程 控制 计 
算 机 。 

在 DNS 服务 器 中 ,为 了 方便 且 快 速 响应 用 户 的 请 求 ,其 存储 器 中 会 有 缓存 区 域 ,以 保存 
常用 的 响应 信息 ,以 达到 快速 响应 的 目的 。 入 侵 者 可 以 利用 DNS 服务 器 漏洞 利用 工具 攻 
击 , 导 致 DNS 服务 器 的 缓存 区 产生 溢出 ,然后 可 以 通过 Telnet 命令 或 某 些 程序 漏洞 端口 ， 
造成 DNS 的 非 正常 连接 。 当 前 面 的 工作 都 成 功 后 ,就 可 以 通过 输入 命令 : net user test 
1234 /add ,添加 用 户 名 为 test、 密 码 为 123 的 用 户 。 而 后 再 通过 输入 命令 : net localgroup 
administrators test /add, 将 新 增 的 test 用 户 添加 到 管理 员 组 中 。 最 后 ,入 侵 者 只 需要 利用 
Windows 系统 自 带 的 远程 桌面 功能 ,接着 连接 到 该 DNS 服务 器 的 IP 地 址 ,然后 利用 刚刚 
创建 的 用 户 名 进行 登录 ,就 可 以 进行 远程 管理 操作 ,如 图 6-3 所 示 。 

由 于 是 在 本 地 进行 测试 ,所 以 计算 机 名 为 127. 0. 0. 1。 在 此 类 的 入 侵 中 , 若 远程 服务 器 
没有 开通 终端 服务 功能 ,也 可 以 通过 溢出 得 到 的 命令 提示 符 窗口 ,通过 FTP 或 tftp 命令 上 
传 木马 程序 ,同样 也 可 以 进行 有 效 的 远程 管理 操作 。 


Epss«esu 
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| 置 
| 键入 计算 机 名 ， 或 者 从 下 拉 表 中 选择 一 台 计算 机 。 
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保存 密码 W 


连接 设置 
J 保存 当前 设置 ， 或 者 打开 已 保存 的 连接 。 
55800... fo... 
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图 6-3 利用 新 建 用 户 远程 登录 


目前 ,已 经 有 了 针对 这 个 DNS 漏洞 的 升级 补丁 程序 ,及 时 升级 可 以 避免 DNS 服务 器 被 
破坏 。 对 于 个 人 用 户 而 言 ,可 以 通过 修改 Windows 中 的 HOSTS 文件 ,将 网 站 的 域名 和 TP 
地 址 强行 制定 ,来 达到 预防 攻击 的 目的 。 

4. IIS 6. 0 文件 夹 解析 漏洞 

Windows 2003 IIS 6. 0 在 处 理 文件 夹 扩 展 名 时 ,只 要 文件 夹 扩 展 名 为 asp, 它 就 会 将 其 
作为 ASP 程序 来 执行 ,其 文件 夹 下 扩展 名 为 jpg 或 gif 等 看 上 去 是 图 片 文件 的 木马 文件 就 
会 被 运行 。 入 侵 者 可 利用 网 站 的 上 传 权限 ,将 各 种 asp 木马 (如 海洋 木马 ) 更 名 为 以 jpg/gif 
等 为 后 缀 的 文件 ,上 传 到 服务 器 。 当 这 些 文件 被 打开 时 ,木马 程序 会 被 IIS 解析 。 因 为 
Microsoft 尚未 发 布 这 个 漏洞 的 补丁 ,所 以 几乎 所 有 网 站 都 会 存在 这 个 漏洞 。 而 在 
Windows 2000 IIS 5 处 理 JPEG 图 片 中 如 包含 有 HTML 及 ASP 代码 ,只 会 执行 HTML 代 
码 ,而 不 会 执行 JPEG 图 片 中 的 ASP 代码 ,所 以 Windows 2000 IIS5 中 不 存在 这 个 漏洞 。 

5. 远程 桌面 漏洞 

无 论 是 在 Windows 2003 还 是 在 Windows XP 中 ,系统 都 提供 了 远程 桌面 功能 。 当 要 
进行 远程 网 络 访问 连接 时 ,该 系统 下 的 远程 桌面 功能 可 以 将 进行 网 络 连接 时 需要 输入 的 用 
户 名 和 密码 ,通过 普通 明文 内 容 方式 发 送 给 对 应 连接 的 客户 端 。 而 发 送 的 用 户 名 不 一 定 是 
远 端 主机 的 用 户 名 ,通常 是 最 常 被 客户 端 使 用 的 用 户 名 。 在 用 户 名 明文 传输 过 程 中 ,入 侵 者 
可 以 在 网 络 通 道上 安插 各 种 嗅 探 工具 ,它们 会 自动 进入“ 嗅 探 ” 状 态 ,明文 账号 就 很 容易 被 捕 
获 , 后 果 也 可 想 而 知 。 


6.2.3 Windows 2003/ XP 安全 策略 


安全 策略 是 网 络 安全 的 基础 屏障 , 它 可 以 对 账号 ,用户 、 域 及 所 有 的 共享 资源 进行 有 效 
的 管理 。 在 Windows 2003/XP 中 有 本 地 安全 设置 及 域 安全 设置 ,其 中 包含 一 些 基础 的 . 方 
便 设置 的 安全 策略 ,其 中 本 地 安全 设置 如 图 6-4 所 示 。 
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桓 本 地 安全 设置 


文件 下 REW SEV HHW 
€ »|&|[m|x Re m 


C3 FERE Ed 
C3 用 户 权限 分 配 辆 用 可 还 原 的 加 密 来 储存 密码 ERA 


国 软件 限制 策略 
D I 安全 策略 ,在 本 地 计算 机 


图 6-4 本 地 安全 设置 


下 面 着 重 介绍 下 账户 策略 .本 地 策略 中 的 审核 策略 及 IP 安全 策略 ,同时 对 它们 的 设置 
进行 相关 说 明 ,以 建立 一 个 简单 且 有 效 的 系统 安全 策略 。 

1. 账户 策略 

(1) 密码 策略 : 包含 了 密码 的 复杂 性 要 求 , 使 用 期 限 的 设置 等 。 通 过 提高 密码 复杂 性 、 
增 大 密码 长 度 、 提 高 更 换 频率 等 ,来 强制 改变 不 安全 的 密码 使 用 习惯 。 同 理 ,也 可 以 通过 设 
置 域 安全 策略 ,强制 对 域内 所 有 成 员 实行 密码 策略 。 

(2) 账户 锁定 策略 ,是 指 在 账户 受到 采用 密码 词典 或 暴力 猜 解 方式 的 在 线 自动 登录 攻 
击 时 ,为 保护 该 账户 的 安全 而 将 此 账户 进行 锁定 ,使 其 在 一 定 的 时 间 内 不 能 再 次 使 用 ,从 而 
挫败 入 侵 者 连续 猪 解 账户 口令 的 尝试 。 通 过 前 面 的 学 习 我 们 可 以 知道 ,破解 密码 只 是 一 个 
时 间 和 运气 上 的 问题 ,因此 ,可 以 设 定 指定 账户 无 效 登 录 的 次 数 , 即 锁定 阔 值 。 当 用 户 登 录 
超过 所 设置 的 阔 值 后 ,账户 将 被 锁定 ,此 时 即使 是 合法 用 户 也 都 无 法 使 用 了 ,只 有 管理 员 才 
可 以 重新 启用 该 账户 。 通 常情 况 下 我 们 会 将 锁定 阅 值 设置 为 3, 即 可 以 给 合法 用 户 的 失误 
操作 一 定 的 机 会 ,也 可 有 效 地 避免 破解 工具 的 攻击 。 

2. 本 地 策略 

审核 策略 可 以 对 系统 中 的 各 类 事件 进行 跟踪 记录 并 写 入 日 志文 件 , 以 供 管理 员 进 行 分 
析 、 查 找 系统 和 应 用 程序 故障 以 及 各 类 安全 事件 。 所 有 的 操作 系统 、 应 用 系统 等 都 带 有 日 志 
功能 ,因此 可 以 根据 需要 实时 地 将 发 生 在 系统 中 的 事件 记录 下 来 。 如 果 系 统 已 经 启用 了 “ 审 
核对 象 访 问 " 策 略 , 那 么 就 要 求 必 须 使 用 NTFS 文件 系统 。NTFS 文件 系统 不 仅 提供 对 用 
户 的 访问 控制 ,而 且 还 可 以 对 用 户 的 访问 操作 进行 审核 。 但 这 种 审核 功能 ,需要 针对 有 具体 的 
对 象 来 进行 相应 的 配置 。 首 先 在 被 审核 对 象 “ 安 全 ”属性 的 “高 级 "属性 中 添加 要 审核 的 用 户 
和 组 。 在 该 对 话 框 中 选择 好 要 审核 的 用 户 后 .就 可 以 设置 对 其 进行 审核 的 事件 和 结果 。 在 
所 有 的 审核 策略 生效 后 ,就 可 以 通过 检查 系统 的 日 志 来 发 现 黑客 的 蛛丝马迹 。 

在 系统 中 启用 安全 审核 策略 后 ,管理 员 应 经 常 查看 安全 日 志 的 记录 ,和 否则 再 完备 的 审核 
策略 也 无 济 于 事 , 而 此 时 系统 安全 的 监控 就 显得 尤为 重要 了 。 然 而 ,要 保证 一 个 系统 的 安 
全 ,仅仅 对 日 志 进 行 查看 是 不 足够 的 ,因为 日 志 只 能 查看 到 已 经 发 生 的 入侵 事件 ,但 是 它 对 
正在 进行 的 入 侵 和 破坏 行为 无 能 为 力 了 。 这 时 ,就 需要 管理 员 来 掌握 一 些 基本 的 实时 监视 
技术 ,如 开放 端口 和 连接 的 监听 、 共 享 的 监听 及 系统 进程 和 信息 的 监听 等 。 

(1) 监听 开放 端口 和 连接 : 通常 系统 在 被 人 侵 后 ,入 侵 者 会 在 系统 中 留 下 木马 类 后 门 ， 
使 其 与 外 界 的 通信 会 建立 一 个 Socket 会 话 连接 。 此 时 ,端口 监听 就 可 能 发 现 它 。netstat 命 
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令 可 以 进行 会 话 状态 的 检查 ,查看 已 经 打开 的 端口 和 已 经 建立 的 连接 。 除 此 之 外 ,也 可 以 采 
用 一 些 专用 的 检测 程序 对 端口 和 连接 进行 检测 。 

(2) 监视 共享 : 利用 系统 隐 含 的 管理 共享 来 人 侵 系 统 是 最 为 方便 的 方式 了 ,入 侵 者 只 
要 能 够 扫描 到 TP 和 用 户 密码 ,就 可 以 使 用 net use 命令 连接 到 共享 上 。 另 外 , 当 浏 览 到 含有 
恶意 脚本 的 网 页 时 ,此 时 计算 机 的 硬盘 也 可 能 被 共享 ,因此 ,监听 本 机 的 共享 连接 是 非常 重 
要 的 。 在 Windows 2003 的 计算 机 中 ,打开 “计算 机 管理 ”工具 ,并 展开 “共享 文件 夹 ” 选 项 。 
单 击 其 中 的 “共享 ”选项 ,就 可 以 查看 其 右面 窗口 ,以 检查 是 否 有 新 的 可 疑 共 享 ,如 果 有 可 疑 
共享 ,就 应 该 立即 删除 。 另 外 还 可 以 通过 选择 “会 话 ?选项 ,来 查看 连接 到 系统 所 有 共享 的 会 
话 。Windows NT/2000 的 IPC $ 共享 漏洞 是 目前 危害 最 广 的 漏洞 之 一 。 入 侵 者 即使 没有 
立即 破解 密码 ,但 仍然 可 以 通过 “ 空 连接 "来 连接 到 系统 上 ,再 进行 其 他 的 尝试 。 

(3) 监视 进程 和 系统 信息 : 对 于 木马 和 远程 监控 程序 ,除了 监视 开放 的 端口 外 ,还 应 通 
过 任务 管理 器 的 进程 查看 功能 进行 进程 的 查找 。 在 安装 Windows Server2003 的 支持 工具 
(从 产品 光盘 安装 ) 后 ,就 可 以 获得 一 个 进程 查看 工具 Process Viewer; 通 常 ,隐藏 的 进程 寄 
宿 在 其 他 进程 下 ,因此 查看 进程 的 内 存 映像 也 许 能 发 现 异常 。 现 在 的 木马 越 来 越 难 发 现 , 它 
常常 会 把 自己 注册 成 一 个 服务 ,从 而 避免 在 进程 列表 中 现形 。 因 此 ,我 们 还 应 结合 对 系统 中 
的 其 他 信息 的 监视 ,这 样 就 可 对 系统 信息 中 的 软件 环境 下 的 各 项 进行 相应 的 检查 。 

3. IP 安全 策略 

在 Windows Server 2003 系统 中 ,其 服务 器 产品 和 客户 端 产 品 都 提供 了 对 IPSec 的 支 
持 。 从 而 增强 了 安全 性 、 可 伸缩 性 以 及 可 用 性 ,同时 使 部 署 和 管理 更 加 方便 。 但 在 
Windows Server 2003 系统 自 带 的 安全 服务 器 (要 求 安 全 设置 )、 客 户 端 ( 只 响应 ) 和 服务 器 
(请 求 安 全 设置 ) 三 个 策略 中 对 IPSec 的 使 用 却 有 不 同 的 规定 。“ 客 户 端 (只 响应 )" 策 略 是 根 
据 对 方 的 要 求 来 决定 是 否 采用 IPSec;“ 服 务 器 (请 求 安全 设置 )" 策 略 要 求 支 持 IP 安全 机 制 
的 客户 端 使 用 IPSec, 但 允许 不 支持 IP 安全 机 制 的 客户 端 来 建立 不 安全 的 连接 ;而 “安全 服 
务 器 (要 求 安全 设置 )" 策 略 则 最 为 严格 , 它 要 求 双方 必须 使 用 IPSec 协议 。 但 是 ,“ 安 全 服务 
器 (要 求 安全 设置 )" 策 略 默 认 允 许 不 加 密 的 受信 任 的 通信 ,因此 通信 仍然 不 够 安全 。 直 接 修 
改 此 策略 或 定制 专门 的 策略 ,就 可 以 实现 有 效 的 防范 。 可 以 选择 其 中 的 “所 有 IP 通信 ? 选 
项 ,编辑 其 规则 属性 。 

采用 IPSec 加 密 数据 通信 的 方法 适用 于 企业 网 应 用 ,通过 部 署 组 策略 可 以 强制 网 络 中 
的 所 有 计算 机 使 用 IPSec 加 密 通 信 。 虽 然 这 种 严格 的 限制 会 带 来 一 些 不 便 , 但 对 于 系统 安 
全 来 说 是 值得 的 。IPSec 还 可 以 应 用 于 VPN 技术 中 ,在 这 里 可 以 对 IP 隧道 中 的 数据 流 进 
行 加 密 。 
6.2.4 Windows 2003/ XP 安全 防护 


在 了 解 了 Windows 系统 的 安全 机 制 、 策 略 及 其 常见 漏洞 后 ,可 以 根据 其 系统 的 安全 特 
性 ,为 系统 做 好 以 下 基本 设置 ,以 达到 系统 初步 的 安全 防护 。 第 一 步 当然 是 必 不 可 少 的 漏洞 
修补 ,可 去 Microsoft 官网 直接 下 载 漏 洞 补丁 ,或 者 利用 漏洞 扫描 工具 做 好 补丁 工作 ,在 此 
不 对 其 进行 袭 述 。 下 面 介 绍 需要 通过 设置 系统 来 达到 防护 作用 的 部 分 。 

1. 设置 和 管理 账户 

首先 ,设置 系统 账户 。 将 默认 的 管理 员 账 户 Administrator 的 账户 名 和 描述 更 改 , 设 置 
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由 大 小 写字 母 、 数 字 和 特殊 符合 等 组 成 的 长 度 不 少 于 12 位 的 密码 。 而 后 再 建立 一 个 
Administrator 的 陷阱 账号 ,为 其 设置 长 度 不 少 于 16 位 的 密码 ,并 给 其 设置 最 小 的 权限 。 除 
此 之 外 ,还 需要 禁用 Guest 账户 ,为 其 更 改名 称 、 描 述 和 设置 复杂 密码 。 

其 次 ,选择 “开始 ”>“ 运 行 ”选项 ,在 “运行 ”对话 框 中 输入 gpedit. msc, 打 开 组 策略 编辑 
器 ,如 图 6-5 所 示 。 


PEEL EE 
XED MEW FEV HHW 
e 小 | 加 | 


图 6-5 组 策略 编辑 器 


选择 “计算 机 配置 ">“Windows 设置 "一 安全 设置 ”账户 策略 ”账户 锁定 策略 ” 
选项 ,将 账户 锁定 阀 值 设 为 3, 锁 定时 间 设 为 “30 分 钟 , 复 位 锁定 计数 设 为 "30 分 钟 ”。 然 
后 ,选择 “安全 设置 ”本 地 策略 ”一 安 全 ?选项 ,将 “交互 式 登录 : 不 显示 上 次 的 用 户 名 ? 设 
为 启用 。 与 此 同时 ,还 要 选择 “安全 设置 ">“ 本 地 策略 ”>“ 用 户 权 利 分 配 ”选项 ,在 “从 网 络 


访问 此 计算 机 ”中 只 保留 Internet 来 宾 账 户 、 启 本 到 
动 的 IIS 进程 账户 等 必要 账户 。 aa l | we | ox | 
安全 Ta sas ë | 


最 后 ,创建 一 个 User 账户 ,运行 系统 ,如 果 
要 运行 特权 命令 就 使 用 Runas 命令 。 

2. 设置 NTFS 磁盘 权限 

对 于 C 盘 只 给 Administrators fll SYSTEM 
权限 ,如 图 6-6 Brz 。 

对 于 其 他 磁盘 也 可 以 做 同样 的 设置 。 不 少 


Administrators 的 权限 Œ) 拒绝 

人 会 赞同 只 设置 Administrators 权限 ,认为 那样 B 

会 更 加 安全 ,其 实 不 然 。 如 果 仅 仅 只 是 在 C fix 读 取 和 运行 回 口 

列 出 文件 来 目录 回 百 

$ J Administrators 权限 , 在 All Users/ er E B 
5 回 

Application Data 目录 下 就 可 能 会 出 现 everyone 特别 的 权限 口 Hn 


用 户 有 完全 控制 权限 。 人 入侵 者 就 可 以 利用 这 个 ji c mu | 
目录 , 写 入 脚本 或 文件 ,或 者 通过 结合 其 他 漏洞 
来 提升 自己 的 权限 。 况 且 作 为 网 络 操作 系统 而 
言 , 有 某 些 第 三 方 应 用 程序 是 以 服务 形式 启动 
的 ,只 有 加 上 SYSTEM 用 户 才 可 以 启动 , 故 在 此 需要 给 其 设置 一 定 的 权限 。 

另外 ,在 Windows 目录 上 还 要 加 上 给 Users 的 默认 权限 ,否则 ASP, ASPX 等 应 用 程序 
就 无 法 运行 。 除 此 之 外 ,还 要 将 net. exe, cmd. exe, tftp. exe, netstat. exe, regedit. exe, 
at. exe,attrib. exe,cacls. exe 设置 为 只 允许 Administrators 访问 。 


[we ] we | maw | 
图 6-6 C 盘 权限 设置 
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3. 设置 相应 的 审核 策略 

打开 组 策略 编辑 器 ,选择 “计算 机 配置 ”>“Windows 设置 ">“ 安 全 设置 ">“ 本 地 策略 ” 
一 “审核 策略 ”选项 。 在 设置 审核 策略 之 前 ,需要 注意 的 是 选择 有 限 且 有 效 的 项 目 作 为 要 审 
核 的 项 目 。 因 为 ,如 果 审 核 的 项 目 越 多 ,生成 的 事件 也 就 越 多 ,那么 发 现 严 重 事件 的 难度 也 
会 相应 的 增 大 ,同时 系统 内 存 占用 也 会 很 大 ， 会 降低 系统 的 运行 效率 。 相反 ,如 果 审 核 的 项 
目 太 少 ,也 会 影响 对 严重 事件 发 生 的 发 现 。 因 此 ,需要 选择 合适 的 审核 项 目 , 既 要 保证 系统 
的 运行 速度 ,又 要 达到 审核 的 目的 。 

在 此 ,我 们 推荐 一 份 审核 策略 的 设置 ,如 图 6-7 所 示 ,以 供 参考 。 


mn 姐 策略 篇 辑 器 

XPD BEO 查看 WD 玫 助 0D 

le BERE 
CN 


ndows 设置 
E) 秆 本 (局 动 /关机 ) 
安全 设置 
m C9 帐户 第 略 
c C9 trs 
aa 


TERE S | 5 市 核 帐户 登录 事件 HO, RM 
m Cà 用 己 权 限 分 配 ieu 无 审核 


图 6-7 审核 策略 设置 


4. 清除 默认 共享 隐患 

Windows 2003 在 默认 安装 时 ,会 产生 默认 的 共享 文件 来 。 虽 然 用 户 并 没有 设置 共享 ,但 
每 个 盘 符 都 被 Windows 自动 设置 了 共享 ,其 共享 名 为 盘 符 名 加 一 个 “$ ”号 ,如 C$、D$ 等 。 
当 入 侵 者 获得 该 系统 的 管理 员 密 码 后 . 便 可 通过 “\\ 工 作 站 名 \ 共 享 名 称 ” 的 方法 ,来 打开 系 
统 的 指定 文件 夹 , 其 危害 可 想 而 知 。 要 清除 默认 共享 隐患 需要 做 以 下 两 方面 的 设置 。 

(1) 编写 如 下 内 容 的 批 处 理 文件 : 

Q echo off 


net shart C$ /del 
net shart D$ /del 


net shart E$ /del EEN T3 2j xj 
net shart F$ /del put 
net shart admin$ /del 2 FR CEBIT, 的 ) 


将 其 保存 为 delshare. bat, 存 放 至 system32N m mm 
GroupPolicy\ User\ Scripts\ Logon 目录 下 ,用 户 也 IE 
可 以 根据 自己 的 实际 情况 进行 修改 。 

mum 
(2) 选择 “开始 ”>“ 运 行 ”选项 ,在 “运行 "对 ES 


话 框 中 输入 gpedit. msc. 打开 组 策略 编辑 器 , 单 EXE 

击 “ 用 户 配置 ”~“Windows BR" Made cg; (NER 

注销 )”>“ 登 录 ” 选 项 ,在 “登录 属性 ”窗口 中 单 。 po 
mesno: 

击 “ 添 加 ”按钮 ,会 出 现 “添加 脚本 ”对 话 框 ,在 窗 


Cm ] ms 
口 的 脚本 名 称 中 输入 delshare. bat 后 确定 即 可 ， 
如 图 6-8 所 示 。 图 6-8 添加 登录 脚本 
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在 重新 启动 计算 机 后 ,系统 中 所 有 的 隐藏 共享 文件 夹 就 会 全 部 取消 ,此 安全 隐患 降 至 最 


低 限度 。 
5. 禁用 IPC 连接 


IPCCInternet Process Connection) 是 进程 之 间 建 立 通信 连接 的 通道 。 通 过 提供 可 信任 
的 用 户 名 和 口令 ,连接 双方 计算 机 可 以 建立 安全 的 通道 并 以 此 通道 进行 加 密 数据 的 交换 ,以 


实现 对 远程 计算 机 的 访问 。 


IPC 的 连接 很 简单 ,只 需要 知道 远程 主机 的 用 户 名 和 密码 即 可 。 可 以 在 运行 中 输入 


cmd 后 再 输入 如 下 命令 即 可 : 


net use\ip\ipc$ "password" /user:"username" 


IPC 是 常见 Windows 系统 (如 Windows NT/XP/2000/2003) 的 特有 功能 ,系统 在 提供 
IPC 功能 的 同时 ,还 会 打开 所 有 的 默认 共享 ,由 此 降低 了 系统 的 安全 性 。 
可 以 通过 修改 注册 表 来 禁用 IPC。 找 到 如 下 组 件 : 


HKEY IOCAL MACHINEASYSTEMVCurrentControlSetVControlM.sa 


将 其 中 restrictanonymous 子 键 的 值 改 为 1, 便 可 以 禁用 IPC 连接 。 


6. 关闭 不 需要 的 端口 


端口 常常 是 被 入侵 者 利用 的 工具 ,我 们 可 以 将 一 些 不 必要 的 端口 关闭 ,以 减少 人 侵 


危害 。 


CXCIEDOMNENEENEAAAAMM  —À— us) 


苹 设 置 | ms ms | 选项 | 
EINS 地址 ( 控 使 用 顺序 排列 ) Q0: 


mmo... | REE | RIS IJ 


如 果 启用 LIMDSTS 查找 ， 它 格 应 用 于 所 有 启用 TCP/IP MER. 


MEDIE FUA 


C 启用 TCP/IP 上 的 NetBIOS QD 


Iv 启用 most #80) 导入 UnDSTS QD... | 
p NetBIOS 设置 
CRUD: 


5 em TCP/IP 下 的 WeiBI0S Q)) 


[mx ] mw | 


图 6-9 禁用 NetBIOS 


例如 139 端口 ,139 是 NetBIOS 使 用 的 
端口 ,在 安装 了 TCP/IP 协议 的 同时 ， 
NetBIOS 也 会 被 作为 默认 设置 安装 到 系统 
中 。139 端口 的 开放 意味 着 硬盘 可 能 会 在 网 
络 中 共享 ,入 侵 者 可 通过 NetBIOS 知道 目标 
计算 机 中 的 一 切 。 如 果 不 使 用 网 络 文件 和 打 
印 机 共享 ,我 们 就 可 以 关闭 139 端口 。 首 先 ， 
进入 “网 络 和 拨号 连接 ”, 右 击 “ 本 地 连接 ”, 单 
击 “ 属 性 ”, 进 入 “本 地 连接 属性 ”, 取消 对 
“Microsoft 网 络 的 文件 和 打印 共享 ”的 选中 。 
然后 ,选中 “Internet 协议 (TCP/IP)”, 选择 
“属性 ”一 “高 级 ”一 “WINS”, 选中 “禁用 
TCP/IP 上 的 NetBIOS”, 如 图 6-9 所 示 。 

除 此 之 外 ,如 果 系 统 中 安装 了 IIS, 则 还 
需要 重新 设置 一 下 端口 过 滤 。 可 选择 “高 级 
TCP/IP 设置 ”窗口 中 的 “选项 ”选项 卡 ,选择 


“TCP/IP 筛选 ”, 单 击 * 属 性 ?打开 *TCP/IP 筛选 ?窗口 ,选中 * 启 用 TCP/IP 筛选 (所 有 适 配 


器 )”, 然 后 根据 系统 需要 进行 配置 。 
7. 杜绝 非法 访问 应 用 程序 


作为 网 络 操作 系统 ,为 了 防止 登录 用 户 随意 启动 服务 器 中 的 应 用 程序 ,给 服务 器 的 正常 
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运行 造成 影响 等 情况 的 发 生 , 对 不 同 用 户 设置 访问 权限 是 很 有 必要 的 。 
打开 “组 策略 编辑 器 ”, 进 入 “用 户 配置 ">“ 管 理 模板 ”>“ 系 统 ”, 选 择 “ 只 运行 许可 的 
Windows 应 用 程序 ”并 启动 该 策略 ,然后 点 击 下 方 的 “允许 的 应 用 程序 列表 ” 旁 的 “显示 ”, 打 
开 * 显 示 内 容 ” 窗 口 ,添加 允许 运行 的 应 用 程序 ,如 图 6-10 所 示 。 
运行 许可 的 Windows MEF BE 
pæ | 说 明 | 
78 内 运 行 # 可 的 Winders 应 用 程序 


Cam 
国 CtrltMttpel 选项 


图 6-10 添加 系统 允许 运行 的 应 用 程序 

8. 其 他 配置 

(1) 隐藏 重要 文件 /目录 。 通 过 修改 注册 表 实 现 完全 隐藏 ,找到 如 下 组 件 : 

HKEY IOCAL MACHINESOFIWAREMi crosoftWindowsOurrent— VersionExplorer 

AcdvancedFolderHi- ddenSHOWALL 

Hiti CheckedValue, 选 择 修改 ,把 数值 由 1 改 为 0 即 可 。 

(2) 启动 系统 白带 的 Internet 连接 防火 墙 。 选 择 “ 本 地 连接 属性 ”中 “高 级 ”标签 , 单 击 
“设置 "以 设置 防火 墙 。 

G) 防止 SYN 洪水 攻击 。 找 到 如 下 组 件 : 

HKEY IOCRL MPCHINESYSTEMcurrentcontrolsetservicesTapipParameters 

新 建 DWORD 值 ,设置 名 字 为 SynAttackProtect, 其 值 为 2。 

(4) 禁止 响应 ICMP 路 由 通告 报 文 。 找 到 如 下 组 件 : 

HKEY IOCAL MACHINESYSTEM"urrentControlSetServicesTcpipParametersInterfaces- 

interface 

新 建 DWORD 值 ,设置 名 字 为 PerformRouterDiscovery , HAX 0. 

(5) 防止 ICMP 重 定向 报 文 的 攻击 。 找 到 如 下 组 件 : 

HKEY IOCAL MACHINESYSTEM-urrentControlSetServicesTcpipParameters 


将 EnableICMPRedirects fii 0. 
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(6) 不 支持 IGMP 协议 ,找到 如 下 组 件 : 
HKEY IOCAL MACHINESYSTHEMCurrentControlSetServicesTcpipParameters 


新 建 DWORD 值 , 设 置 名 字 为 名 为 IGMPLevel, 其 值 为 0。 

(7) 禁用 DCOM, 选择 “开始 ”一 “运行 "命令 ,在 打开 的 “运行 ”对话 框 中 输入 
Dcomenfg. exe. 在 “组 件 服务 "下 的 “组 件 服务 ”, 打 开 “ 计 算 机 ” 子 文件 夹 , 右 击 “ 我 的 电脑 ”， 
选择 “属性 ”。 打 开 “ 我 的 电脑 属性 ”窗口 ,选择 “默认 属性 ”标签 ,取消 “在 这 台 计 算 机 上 启用 
分 布 式 COM”。 


6.3 UNIX 安全 性 及 防护 


6.3.1 UNIX 系统 简介 


UNIX 是 一 个 多 用 户 ,多 任务 的 操作 系统 ,最 初 是 由 AT&.T 公司 开发 的 ,主要 用 于 支持 
大 型 的 文件 系统 服务 ,数据 服务 等 应 用 。 就 功能 性 而 言 , 它 远 远 超过 了 DOS 和 Windows 这 
两 个 系统 ,甚至 可 以 说 它 具 有 一 个 操作 系统 所 必须 具有 的 一 切 功 能 。 

1. UNIX 系统 的 历史 

1965 年 , 麻 省 理工 学 院 `.AT&T 贝尔 实验 室 和 通用 电气 合作 计划 建立 一 个 多 用 户 ,多 
任务 、 多 层次 的 ,被 设计 运行 在 GE-645 大 型 主机 上 的 操作 系统 Multics, 但 由 于 整个 目标 过 
于 庞大 ,再 者 又 灶 合 了 太 多 的 特性 ,导致 该 系统 性 能 不 尽 如 人 意 , 最 终 以 失败 而 告终 。 

1969 年 ,美国 贝尔 实验 室 的 K. Thompson 和 D. M. Ritchie 在 规模 较 小 及 较为 简单 的 
分 时 操作 系统 Multics 的 基础 上 开发 出 了 UNIX。 最 初 UNIX 是 由 汇编 语言 编写 的 ,而 其 
中 的 一 些 应 用 是 由 解释 型 语言 B 语言 和 汇编 语言 混合 编写 的 。 但 因为 B 语言 在 进行 系统 
编程 时 存在 很 多 不 足 , 所 以 Thompson 和 Ritchie 对 其 进行 了 改造 ,并 于 1971 年 共同 发 明了 
C 语 言 。1973 ^E. Thompson 和 Ritchie 用 C 语言 重 写 了 UNIX, 使 得 UNIX 代码 简单 紧凑 、 
易 移 植 \ 易 读 、 易 修改 ,为 此 后 UNIX 的 发 展 葛 定 了 坚实 的 基础 。 

随后 ,UNIX 得 到 了 广泛 的 发 展 ,也 衍生 出 了 多 种 版 本 ,如 BSD、IBM 开发 的 AIX、Sun 开发 
的 Solaris 及 惠普 开发 的 HP-UX 等 ,还 有 近 几 年 发 展 最 快 的 Linux 操作 系统 ,也 在 基于 UNIX 
而 开发 的 。 时 至 今日 ,UNIX 已 经 不 仅仅 指 代 一 个 操 
作 系统 , 而 成 为 了 一 类 操作 系统 的 统称 。 Sei 

2. UNIX 系统 的 结构 

实际 上 ,整个 UNIX 系统 是 由 几 个 简单 的 抽象 PB 
概念 为 核心 的 。 正 如 它 的 开发 者 Thompson 和 硬件 
Ritchie 所 言 ,一 个 操作 系统 “并 不 在 于 创意 有 多 新 ， 
而 是 对 一 组 精心 挑选 出 来 的 成 熟 思想 的 充分 实现 ， 
并 且 只 有 这 些 思想 是 实现 一 个 小 而 强大 的 系统 的 关 
HEER”. UNIX 简单 的 体系 结构 就 是 这 一 思想 的 图 6-11 UNIX 系统 结构 
最 好 表达 ,其 体系 结构 如 图 6-11 所 示 。 

COD WE: 是 操作 系统 的 核心 程序 ,是 一 组 用 C 语言 编写 的 例 程 ,是 程序 与 硬件 之 间 的 
桥梁 。 当 系统 启动 时 ,内 核 被 载 人 到 计算 机 的 内 存 里 ,直接 对 硬件 设备 进行 控制 。 需 要 访问 


用 户 
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硬件 设备 的 用 户 程序 (或 应 用 程序 ) 可 通过 一 组 称 为 系统 调用 的 函数 调用 请 求 内 核 服 务 , 再 
利用 内 核 提供 的 服务 ,间接 地 访问 硬件 设备 。 但 即使 没有 运行 用 户 程序 ,内 核 也 在 进行 着 大 
量 的 工作 ,如 管理 系统 的 内 存 、 安 排 进程 的 运行 时 间 表 ,决定 进程 的 优先 级 等 烦琐 但 重要 的 
事务 。 

(2) Shell. 如 它 的 英文 名 字 一 样 , 它 是 一 个 壳 程 序 , 是 用 户 与 内 核 之 间 的 接口 。 当 用 户 
输入 命令 后 ,Shell 会 对 命令 中 的 每 一 个 字符 进行 严格 检查 , 当 发 现 一 些 特殊 字符 时 , 它 就 会 
把 输入 的 命令 重新 组 织 成 一 个 简单 的 命令 行 , 而 后 交 与 内 核 处 理 ,并 等 待 内 核 返 回执 行 
结果 。 

一 个 系统 只 能 有 一 个 内 核 , 但 却 可 以 同时 运行 多 个 Shell 程序 , 即 不 同 的 登录 用 户 使 用 
的 是 不 同 的 Shell。 

(3) 系统 调用 : 是 嵌入 在 内 核 里 面 的 ,是 用 户 与 系统 的 交互 方法 。 例 如 UNIX 命令 对 
文件 的 写 人 操作 , 它 是 通过 对 调用 系统 的 write 函数 来 实现 的 ,而 UNIX 命令 并 没有 进入 到 
内 核 中 。 这 使 得 在 UNIX 上 开发 的 软件 ,可 以 很 方便 的 移植 到 另 一 个 UNIX 机 器 上 。 

(4) 文件 与 进程 : 是 UNIX 系统 的 两 个 支柱 。 其 中 ,文件 是 指 字 节 序列 , 它 采用 人 逻辑 的 
方式 组 织 、 存 储 、 访 问 、 操 作 和 管理 信息 ;进程 是 指 内 存 中 运行 的 程序 ,有 人 也 将 它 形象 地 比 
喻 成 一 个 有 机 体 , 它 有 双亲 ,孩子 和 子孙 , 它 在 某 个 时 间 出 生 , 也 会 在 某 个 时 间 死 亡 。 

3. UNIX 系统 的 特点 

D 多 用 户 、 多 任务 的 操作 系统 

UNIX 是 真正 意义 上 的 分 时 、 多 用 户 、 多 任务 操作 系统 ,其 中 多 用 户 是 指 每 个 用 户 对 自 
己 的 资源 有 特定 的 权限 , 互 不 影响 ;多 任务 是 指 计算 机 可 以 同时 执行 多 个 程序 ,并 且 各 个 程 
序 的 运行 相互 独立 。 

2) 系统 结构 简单 但 实用 

UNIX 具有 简单 但 实用 的 系统 结构 ,内 核 占用 很 小 的 存储 空间 , 常 驻 内 存 , 保 证 了 系统 
的 较 高 的 工作 效率 。 而 系统 实用 的 功能 从 内 核 分 离 出 来 ,在 程序 形式 出 现在 用 户 面前 ,实现 
了 功能 的 完备 性 。 内 核 向 外 部 程序 提供 强 而 有 力 的 支持 ,外 部 程序 则 以 内 核 为 基础 , 相 辅 相 
成 ,为 用 户 提 供 了 各 种 良好 的 服务 。 

3) 采用 了 树 型 文件 系统 

UNIX 系统 采用 树 型 目录 结构 来 组 织 各 种 文件 及 文件 目录 .促进 了 辅助 存储 器 空间 分 
配 和 文件 的 查找 速度 ,为 不 同 用 户 提供 了 文件 共享 和 存 取 控制 的 能 力 , 并 且 保证 了 用 户 之 间 
安全 有 效 的 合作 。 除 此 之 外 ,UNIX 将 物理 设备 也 看 作文 件 ,物理 设备 像 普 通 文件 一 样 被 访 
To] .共享 和 保护 ,简化 了 物理 设备 的 访问 。 

4) 良好 的 移植 性 

UNIX 所 有 的 实用 程序 和 内 核 有 90%% 是 用 C 语文 编写 的 ,这 使 得 UNIX 成 为 一 个 可 移 
植 的 操作 系统 。 而 操作 系统 的 可 移植 性 又 带 来 了 应 用 程序 的 可 移植 性 ,从 而 用 户 的 应 用 程 
序 既 可 用 于 小 型 机 ,又 可 用 于 其 他 微型 机 或 大 型 机 上 ,大 大 提高 了 用 户 的 工作 效率 。 

5) 提供 了 多 种 通信 和 机制 

UNIX 提供 了 如 管理 通信 、 软 中 断 通信 、 消 息 通 信 、 共 享 存储 器 通信 和 信号 灯 通信 等 多 
种 通信 机 制 , 还 有 信号 、 信 号 灯 、 管 道 、 消 息 传递 等 丰富 的 进程 通信 手段 ,这 些 都 有 效 地 完成 
了 多 个 进程 之 间 的 信息 共享 和 数据 交换 ,从 而 保证 了 进程 间 的 协同 工作 。 
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6) 内 存 使 用 效率 高 
UNIX 系统 的 进程 对 换 内 存 管理 机 制 和 请 求 调 页 的 存储 管理 方式 ,实现 了 虚 存 管理 ,大 
高 了 内 存 的 使 用 效率 。 


6.3.2 UNIX 系统 的 安全 机 制 


在 UNIX 发 展 的 四 十 多 年 中 ,其 “考虑 安全 ”的 宗旨 始终 贯穿 其 中 ,安全 机 制 也 逐步 完 
善 。UNIX Pie 制 ,使 其 自身 具备 了 良好 的 安全 性 能 ,达到 了 可 信 


计算 机 评价 标准 的 C2 级 别 。 

1. 用 户 标 识 和 鉴别 机 制 

UNIX 的 各 种 功能 都 被 限制 在 root 账号 中 ,root 用 户 可 以 管理 所 有 资源 的 变化 情况 ， 
授予 用 户 不 同 的 访问 权限 ,控制 用 户 可 以 对 指定 资源 以 指定 的 方式 进行 访问 ,以 及 安排 用 户 
文件 的 存放 位 置 等 。 

每 个 用 户 在 创建 的 时 候 , 系 统管 理 员 root 用 户 , 会 为 其 分 配 一 个 唯一 的 标识 号 一 
UID,root 用 户 的 UID 为 0。 当 用 户 登 录 系统 时 ,需要 输入 用 户 名 和 密码 ,以 标识 其 身份 。 
为 了 方便 管理 ,系统 管理 员 会 将 用 户 分 配 到 不 同 的 用 户 组 中 ,每 个 用 户 属 于 一 个 或 多 个 用 户 
组 ,每 个 组 由 GID 唯一 标识 。UID 和 GID 共同 组 成 了 系统 唯一 标识 用 户 和 同 组 用 户 及 用 
户 的 访问 权限 的 标识 符 。 系 统 会 将 用 户 的 用 户 名 、 经 过 改进 的 DES 算法 加 密 后 的 口令 、 
UID、GID 及 用 户 注释 存放 于 etc/passwd 文件 中 。 当 用 户 登 录 时 ,系统 会 将 用 户 输入 的 用 
户 名 及 口令 与 系统 中 存储 的 进行 比 对 ,车 匹配 则 说 明 登 录 合 法 ,否则 拒绝 用 户 登 录 。 值 得 注 
意 的 是 ,在 输入 错误 的 用 户 名 后 ,系统 依然 会 提示 用 户 输入 密码 ,用 于 保护 用 户 名 的 安全 性 。 

2. 访问 控制 机 制 

在 介绍 UNIX 的 访问 控制 机 制 之 前 , 先 来 进一步 了 解 UNIX 系统 中 一 个 重要 的 概 
念 一 一 文件 系统 。 

在 UNIX 系统 中 ,所 有 的 资源 都 称 为 文件 。 内 核 将 大 大 小 小 的 资源 整合 在 单个 层次 的 
结构 内 ,该 结构 从 根 目 录 开 始 , 往 下 延伸 至 任意 数目 的 子 目 录 。 在 定位 某 个 文件 时 ,必须 使 
用 目录 加 上 文件 名 构成 文件 的 路 径 名 ,其 中 路 径 名 既 可 以 是 绝对 路 径 , 也 可 以 是 相对 路 径 ， 
相对 路 径 名 的 解释 从 当前 目录 开始 。 虽 然 UNIX 的 文件 树 可 以 是 任意 深度 ,但 UNIX 系统 
却 规定 了 每 个 目录 的 名 字 必 须 少 于 256 个 字符 ,单个 路 径 也 不 能 多 于 1023 个 字符 。 

而 文件 系统 也 就 是 内 核 用 于 组 织 管理 系统 资源 的 逻辑 概念 ,用 于 控制 文件 及 目录 中 的 
信息 以 何 种 方式 存储 于 磁盘 或 其 他 辅助 存储 介质 上 ,以 及 每 个 用 户 以 何 种 方式 访问 何 种 信 
息 等 。 它 表现 为 一 组 访问 控制 规则 ,用 来 确定 用 户 是 否 被 允许 访问 某 一 文件 。 因 此 ,UNIX 
的 访问 控制 机 制 是 通过 文件 系统 来 实现 的 。 

在 UNIX 系统 中 输入 1s-1 可 列 出 所 有 的 文件 (或 目录 信息 ) ,如 图 6-12 所 示 。 


图 6-12 文件 信息 


图 中 ,-rw-r--r 一 表示 访问 权限 ,2 表示 链接 数 ,root 表示 文件 所 有 者 是 root 用 户 ,wheel 
是 文件 相关 组 名 ,793 表示 文件 长 度 , May 1 2009 表示 文件 上 次 存 取 日 期 是 2009 年 5 月 
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1 日 ,cshrc 是 文件 的 文件 名 。 

在 访问 权限 中 ,第 一 个 -表示 文件 类 型 ,而 后 的 9bit 分 为 三 组 表示 不 同 用 户 的 访问 权限 ， 
都 以 rwx 表示 。 图 中 rw- 表 示 文 件 拥有 者 的 权限 ,前 一 个 r-- 表 示 同 组 用 户 的 权限 ,后 一 个 
r 一 表示 其 他 用 户 的 权限 。 

UNIX 系统 中 的 权限 分 为 三 种 : r 表示 可 读 ;w 表示 可 写 ;x 表示 可 执行 ,- 表 示 相 应 的 访 
问 权 限 不 允许 。 图 6-12 表示 文件 的 拥有 者 具有 读 写 权限 , 同 组 用 户 和 其 他 用 户 都 只 具有 读 
的 权限 。 

1s-1 也 可 列 出 目录 ,目录 的 文件 类 型 为 d, 并 且 上 述 的 权限 设置 同样 适用 于 目录 。 用 ls 
列 出 目录 要 有 可 读 的 权限 ,在 目录 中 增加 、 删 除 文件 需要 有 可 写 权限 ,进入 日 录 或 将 该 日 录 
作 路 径 分 量 时 ,需要 有 可 执行 的 权限 。 因 此 必须 有 该 文件 及 其 路 径 上 所 有 的 目录 分 量 的 相 
应 权限 才能 使 用 一 个 文件 , 则 只 有 要 打开 文件 时 ,文件 权限 才 起 作用 。 

一 些 版 本 的 UNIX 系统 还 可 以 支持 访问 控制 列表 (ACL) ,如 AIX 和 HP-UX 系统 。 
ACL 提供 了 更 加 完善 的 访问 控制 ,可 以 将 文件 的 访问 控制 细 化 到 单个 用 户 , 而 非 笼统 的 “ 同 
组 用 户 ” 或 其 他 用 户 ”, 使 管理 员 可 以 为 任意 用 户 及 用 户 组 设置 文件 访问 权限 。 

除 此 之 外 ,在 UNIX 系统 中 ,每 个 进程 都 有 真实 UID、 真 实 GID、 有 效 UID、 有 效 GID 四 
个 标识 。 当 进程 试图 访问 文件 时 ,内 核 会 将 进程 的 有 效 UID, GID 和 文件 的 访问 权限 位 中 
相应 的 用 户 和 组 相 比 较 , 用 于 决定 是 否 授 予 其 相应 的 权限 。 

3. 审计 机 制 

与 Windows 系统 类 似 , UNIX 的 审计 机 制 也 是 通过 日 志文 件 实现 的 ,丰富 的 日 志 为 
UNIX 的 安全 运行 提供 了 保障 。 

常见 的 日 志文 件 有 : 记录 用 户 最 后 一 次 成 功 登 录 和 最 后 一 次 登录 失败 事件 的 日 志 
lastlog ,记录 不 良 登 录 尝 试 事件 的 日 志 loging, 记 录 每 一 次 用 户 登 录 和 注销 的 历史 信息 及 系 
统 开 关机 信息 的 日 志 wtmp, 记 录 当 前 登录 的 每 个 用 户 的 日 志 utmp, 记 录 FTP 访问 情况 的 
日 志 xferlog, 以 及 记录 输出 到 系统 主 控 台 以 及 由 syslog 系统 服务 程序 产生 的 信息 的 日 志 
messages。 其 中 ,syslog 是 常见 的 UNIX 系统 中 的 审计 服务 程序 , 它 可 以 方便 地 实现 配置 和 
集中 式 管理 。 除 此 外 ,还 有 一 种 常见 的 并 且 特 殊 的 日 志文 件 acct, 它 被 称 为 系统 记 账 ,用 于 
记录 每 个 用 户 使 用 过 的 命令 ,适合 用 于 对 安全 非常 敏感 的 环境 。 

4. 加 密 机 制 

在 UNIX 系统 中 ,如 果 用 户 想 解 开 一 个 加 密 文 件 ,无 论 他 有 多 大 的 权限 ,在 不 知道 密 钥 
的 情况 下 都 是 无 法 办 到 的 。 目 前 UNIX 系统 中 常用 的 加 密 程序 有 : crypt des 和 pgp。 而 今 
使 用 最 多 的 是 crypt 和 des 两 种 方式 。crypt 是 UNIX 最 初 的 加 密 程序 ,而 des 是 相对 其 较 
新 的 一 加 密 种 技术 ,它们 都 是 通过 使 用 一 个 密 钥 将 输入 的 信息 编码 成 不 可 读 的 乱码 。 解 码 
时 ,利用 密 钥 作用 于 加 密 后 的 文件 ,以 恢复 文件 内 容 。 

此 外 ,在 用 户 标识 和 鉴别 机 制 中 我 们 提 到 过 ,用 户 的 账号 及 口令 都 存储 在 etc 目录 下 的 
passwd 文件 中 ,并 且 口 令 是 经 过 加 密 后 再 存储 的 。 若 被 人 侵 者 找到 文件 ,文件 里 也 是 密 文 。 
人 入侵 者 不 得 不 通过 推测 或 穷 举 的 方式 来 猜测 密码 :用 工具 将 猜测 的 密码 加 密 , 再 与 密 文 对 
比 , 若 相同 则 会 找到 密码 。 似 乎 这 样 的 方式 也 不 够 安全 , 故 UNIX 系统 提出 了 shadow 
password 方法 。 可 将 etc 目录 下 的 passwd 文件 中 的 密码 换 成 X 等 标记 ,系统 在 使 用 密码 
文件 时 ,会 根据 标记 去 寻找 shadow 文件 ,来 完成 相应 操作 。 
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5. 网 络 安全 机 制 

UNIX 系统 有 能 力 提供 网 络 访问 控制 ,可 以 有 选择 的 允许 用 户 和 主机 与 其 他 主机 的 连 
接 , 它 的 网 络 安全 机 制 保证 了 它 在 大 型 网 络 环境 中 运用 。 

在 UNIX 系统 中 可 以 很 容易 的 实现 对 IP 地 址 登录 的 选择 ,在 此 基础 上 ,再 加 入 服务 限 
制 条 件 ,UNIX 系统 便 成 为 了 很 易于 管理 的 系统 。 当 用 户 提出 服务 请 求 时 ,系统 会 先 检查 
etc 目录 的 hosts. allow 文件 ,如 果 发 现 用 户 的 相应 记录 标记 ,系统 便 给 用 户 连接 他 所 要 求 的 
服务 。 如 果 没 有 ,再 扫描 /hosts. deny 文件 ,查看 是 否 有 禁止 用 户 的 标记 。 若 发 现 记录 ,就 
不 给 用 户 提供 相应 的 服务 , 若 仍 然 没 有 找到 记录 , 则 使 用 系统 默认 值 。 


6.3.3 UNIX 安全 漏洞 


1. 缓冲 区 溢出 漏洞 

缓冲 区 溢出 是 指 用 户 输入 的 数据 超过 了 缓冲 区 长 度 , 导 致 数据 越界 ,覆盖 到 其 他 内 存 区 
域 。 入 侵 者 可 针对 系统 存在 的 缓冲 区 溢出 漏洞 ,精心 构造 洲 出 字符 串 , 以 控制 程序 运行 流 
程 ,执行 特殊 的 代码 ,从 而 对 主机 进行 破坏 或 获取 主机 的 root 权限 。 

缓冲 区 溢出 漏洞 可 以 根据 溢出 程序 的 位 置 将 其 分 为 本 地 溢出 和 远程 溢出 两 种 。 

Q) 本 地 溢出 。 存 在 本 地 缓冲 区 溢出 漏洞 的 程序 具有 以 下 三 个 特征 : 

不 检查 用 户 输入 数据 的 长 度 。 

@ 程序 的 所 有 者 是 root。 

@ 程序 设置 了 SUID 权限 位 ,使 得 用 户 在 执行 具有 SUID 权限 的 程序 时 ,其 有 效 身份 等 
于 程序 的 所 有 者 。 

攻击 者 在 系统 中 获得 普通 用 户 权 限 后 ,可 以 对 具有 本 地 缓冲 区 溢出 漏洞 的 程序 进行 溢 
出 , 令 其 打开 一 个 shell。 由 于 程序 具有 SUID 权限 位 , 且 所 有 者 为 root, 所 以 攻击 者 将 获得 
有 具有 root 权限 的 shell, 以 达到 权限 提升 的 目的 。 在 图 6-13 的 示例 中 ,vul 是 一 个 具有 本 地 
缓冲 区 溢出 漏洞 的 程序 ,以 普通 用 户 身份 执行 攻击 程序 exp, 就 可 以 获得 root 权限 。 


other 8704 Apr 28 16:45 vul 
uid-1004jean) gid-i(other) 
iA 


Usages: ./exp «align? <offset> <bufsize> 


address = Oxffbfff2c ,Bufsize = 8, Offset = 1500, Align= 0 
ur d Broue. URL UMIOGI Ul UNI 42 9i 9. 


pis O(root) gid-1Cother) 
t 


图 6-13 本 地 溢出 实例 


UNIX 系统 中 的 SUID root 程序 众多 ,历史 上 大 部 分 SUID root 程序 都 被 发 现 过 缓冲 
区 溢出 漏洞 ,因此 如 果 不 及 时 更 新 系统 补丁 ,就 有 可 能 被 本 地 缓冲 区 溢出 获取 root 权限 。 

(2) 远程 溢出 。 存 在 远程 缓冲 区 溢出 漏洞 的 程序 具有 两 个 特征 : 

CD 不 检查 用 户 输入 数据 的 长 度 。 

© 该 程序 以 网 络 服务 的 形式 运行 。 

入 侵 者 如 果 发 现 网 络 服务 存在 远程 缓冲 区 溢出 漏洞 ,就 可 以 远程 建立 与 网 络 服务 的 连 
接 ,把 溢出 字符 串 发 送 过 去 ,造成 网 络 服务 进程 溢出 。 入 侵 者 获取 的 权限 等 于 启动 网 络 服务 
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进程 的 用 户 所 具有 的 权限 。 由 于 目前 UNIX 系统 中 绝 大 多 数 网 络 服务 进程 是 由 root 用 户 
启动 的 ,所 以 攻击 者 进行 远程 溢出 后 通常 将 获得 root 权限 ,并 且 攻 击 者 不 需 事 先 获 得 本 地 
普通 用 户 权限 ,因此 远程 溢出 漏洞 比 本 地 溢出 漏洞 具有 更 大 的 安全 隐患 。 

下 面 将 列举 利用 2000 年 10 月 版 的 solaris8 所 具有 的 login 远程 缓冲 区 溢出 漏洞 ,对 其 
进行 远程 溢出 攻击 ,从 而 避 开 身份 认证 ,直接 登录 到 目标 主机 上 。 首 先 ,设置 Telnet 中 的 环 
境 变量 TTYPROMPT ,此 处 利用 到 Telnet 的 一 个 安全 漏洞 , 即 设置 了 TTYPROMPT 变量 
Iri — HA ^E" Login 远程 缓冲 区 溢出 漏洞 ”, 就 会 覆盖 一 个 与 认证 状态 有 关 的 变量 ,导致 不 
需要 身份 认证 即 可 登录 ;其 次 ,指定 目标 主机 的 IP 地 址 ,本 例 为 172. 18. 15. 249; 随后 ,输入 
溢出 字符 串 s bin ccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccNn( 其 中 
bin 是 目标 账号 。 如 果 目 标 主机 允许 root 用 户 远 程 登录 ,可 把 目标 账号 替换 为 root。64 个 
是 构造 的 溢出 串 ,\n 是 换行 )。 溢 出 成 功 后 , 便 可 直接 以 bin 的 身份 登录 到 目标 主机 。 

2. Sendmail 漏洞 

Sendmail 是 在 UNIX 环境 下 使 用 最 广泛 的 实现 邮件 发 送 /接受 的 邮件 传输 代理 程序 ， 
其 特点 是 功能 强大 而 复杂 ,这 就 使 得 它 的 各 个 版 本 或 多 或 少 的 存在 安全 漏洞 。 

Sendmail 8 版 本 支持 数据 转换 ,通过 将 一 条 消息 的 主体 的 第 8 位 减 去 变 成 7 位 的 
ASCII 码 ,或 者 不 对 8 位 消息 进行 处 理 而 实现 ,而 选择 方式 取决 于 Sendmail 程序 中 的 标志 
位 。 这 一 功能 的 出 现 也 使 得 一 个 严重 的 安全 漏洞 随 之 产生 。 通 过 发 送 一 个 精心 设计 的 电子 
邮件 消息 给 运行 该 Sendmail 的 系统 ,入 侵 者 可 以 强制 Sendmail 以 超级 用 户 的 权限 执行 任 
何 命令 , 即 它 可 以 实现 远程 用 户 在 本 系统 上 以 超级 用 户 的 权限 执行 程序 。 并 且 由 于 数据 转 
换 功 能 是 在 发 送 的 最 后 时 刻 完 成 的 ,所 以 网 络 即 使 有 防火 墙 和 其 他 的 边界 保护 措施 ,也 很 可 
能 被 攻击 。 

因为 Sendmail 有 一 个 对 外 服务 的 25 端口 ,使 系统 不 可 避免 地 有 被 远程 攻击 的 机 会 。 
如 在 早期 的 Sendmail 版 本 中 ,可 向 不 存在 的 地 址 发 一 个 电子 邮件 ,其 内 容 如 下 : 


/oin/mail user@ notexists.cum« /etc/shadow 


当 信 被 退回 来 时 ,后 面 那 个 文件 也 会 被 以 root 身份 读 回来 。 

除 此 之 外 ,在 较 新 的 Sendmail 中 ,-d 命令 参数 用 于 进入 调试 模式 。 当 设置 了 很 多 的 调 
试 参数 的 时 候 , 和 人 侵 者 就 可 以 利用 堆栈 溢出 ,嵌入 一 个 命令 以 Sendmail 的 执行 身份 执行 , 因 
为 Sendmail 是 一 定 要 以 超级 用 户 的 身份 执行 的 。 

3. IPSec 反 回放 攻击 漏洞 

反 回 放 是 一 种 接受 者 可 以 驳回 过 期 的 或 者 重复 的 包 的 安全 服务 ,这 能 保护 它 防 止 受 到 
回放 攻击 。IPSec 提供 这 项 可 选 的 服务 ,通过 数据 认证 和 序列 号 混合 使 用 来 得 以 实现 。 

在 FreeBSD 系统 中 ,IPSec 提供 了 这 一 服务 ,如 果 启 用 了 该 服务 就 可 以 通过 验证 序列 号 
来 防止 攻击 者 成 功 执行 回放 攻击 。 但 由 于 在 fast_ipsec(4) 的 实现 中 出 现 编程 错误 ,导致 没 
有 升级 序列 号 相关 的 安全 关联 ,允许 报 文 无 条 件 的 通过 序列 号 验证 检查 。 以 至 于 攻击 者 可 
以 拦截 IPSec 报 文 并 回放 。 如 果 使 用 了 无 法 提供 任何 报 文 回放 防范 措施 的 更 高 级 别 协议 
(如 udp) ,还 可 能 有 其 他 影响 。 

4. Ping 命令 漏洞 

Ping 命令 是 在 进行 网 络 测试 或 检查 时 常用 到 的 基础 命令 ,但 通过 Ping 命令 发 出 的 
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ICMP 数据 包 可 能 被 用 作 攻 击 手 段 。 

TCP/IP 协议 中 有 明确 规定 ,数据 包 的 最 大 长 度 为 65 536 个 字 节 ,其 中 至 少 包 含 20 个 
字 节 的 IP 头 信息 。 经 测试 发 现 , 有 的 系统 在 收 到 过 长 的 IP 数据 包 时 ,会 出 现 系统 崩溃 、 重 
新 启动 和 死机 等 不 良 反应 。 而 ICMP 是 TCP/IP 协议 中 的 一 个 子 集 , 用 于 在 系统 之 间 传 递 
错误 消息 和 控制 消息 。 在 检查 系统 是 否 与 远程 主机 相连 时 ,可 通过 Ping 命令 向 其 他 主机 发 
送 过 长 的 ICMP 数据 报 文 。 尽 管 在 许多 系统 上 Ping 命令 在 默认 情况 下 发 送 的 ICMP 数据 
报 文 仅 包 含 8 个 字 节 的 ICMP 头 信 息 , 但 用 户 可 以 任意 指定 该 ICMP 数据 报 文 的 长 度 。 

在 UNIX 类 系统 中 ,入 侵 者 大 都 是 利用 远程 连接 或 系统 命令 漏洞 ,使 系统 产生 内 部 组 
冲 区 溢出 问题 ,从 而 获得 系统 的 root 权限 ,如 常见 的 Telnet 安全 问题 password 漏洞 at 命 
令 漏 洞 .dip 命令 漏洞 等 。 因 此 ,对 于 UNIX 类 系统 ,除了 及 时 做 好 漏洞 修补 外 ,还 应 注意 系 
统 设置 ,通过 设置 为 自身 建立 起 一 道 保 护 屏 障 。 


6.3.4 UNIX 安全 策略 


安全 的 网 络 操作 系统 必须 有 一 个 明确 的 , 且 定 义 良 好 的 安全 策略 。 一 个 安全 的 系统 ,其 
安全 策略 是 实现 完备 的 信息 访问 控制 机 制 和 审计 机 制 等 基本 的 安全 机 制 , 要 能 保证 其 安全 
设置 不 可 轻易 被 自 改 或 被 非 授 权 用 户 更 改 等 。 

1. 用 户口 令 策略 

要 防范 用 户口 令 被 攻击 ,除了 借助 于 UNIX 系统 的 加 密 机 制 , 更 重要 的 在 于 对 用 户口 
令 的 管理 : 使 用 强 口令 和 强制 规定 口令 的 更 换 周 期 。 

通常 ,要 求 口令 设置 成 由 大 小 写字 母 ,数字 及 特殊 符号 组 成 ,长 度 不 少 于 6 个 字符 的 字 
符 串 ,并 且 其 中 不 包含 个 人 或 组 织 信息 。 与 此 同时 ,管理 员 可 强制 规定 用 户 6 个 月 进行 一 次 
口令 更 改 。 需 要 注意 的 是 ,同一 用 户 的 同一 口令 用 于 多 处 ,以 及 不 同 用 户 的 口令 相同 等 情 
Bb ,这 些 都 可 能 成 为 系统 的 安全 隐患 。 

2. 访问 控制 策略 

在 UNIX 系统 中 ,文件 系统 安全 的 重要 性 是 不 言 而 喻 的 ,合理 的 文件 授权 可 以 防止 偶 
然 地 重 写 或 删除 一 个 重要 的 文件 。 管 理 员 可 通过 chmod 命令 改变 文件 的 访问 权限 ,也 可 以 
通过 chown 和 chgrp 命令 改变 文件 的 所 有 者 和 组 。 修 改 后 ,文件 原来 所 有 者 和 组 成 员 就 无 
法 再 对 其 进行 修改 了 。 除 此 之 外 ,还 可 以 用 umask 命令 ,来 为 一 个 新 建文 件 授 权 , 并 且 若 将 
此 命令 放 和 人 用户 的 profile 文件 后 ,就 可 以 控制 该 用 户 后 续 所 建文 件 的 访问 权限 。 

另外 , 除 上 述 的 文件 权限 表示 外 ,文件 的 权限 还 可 用 一 个 4 位 的 八进制 数 表示 。 其 后 三 
位 与 上 文中 讲述 文件 所 有 者 、 同 组 用 户 及 其 他 用 户 的 权限 相似 ,只 是 其 中 的 许可 位 置 1, 不 
允许 则 置 0。 最 高 位 的 八进制 分 别 对 应 SUID、SGID 和 sticky 三 位 ,其 中 SUID 和 SGID 与 
安全 有 关 , 称 为 特殊 位 。 当 权限 为 SGID 和 SUID 的 可 执行 文件 在 运行 时 ,其 进程 的 有 效 
UID 和 有 效 GID 会 被 设 成 文件 拥有 者 的 UID 和 GID, 从 而 进程 也 具有 了 其 Owner 或 
Owner Group 的 权限 。 典 型 的 应 用 是 user/bin/passwd 命令 ,其 Owner 是 root, 权 限 是 
4755。 可 以 想象 ,如 果 使 用 不 当 ,SGID 和 SUID 程序 会 给 系统 安全 性 带 来 极 大 的 危害 。 某 
些 人 侵 者 暂时 取得 root 权限 后 ,往往 会 利用 SGID 或 SUID 程序 为 下 次 进入 系统 留 下 后 门 。 
所 以 ,为 了 防止 这 种 情况 发 生 ,管理 员 应 当 定 期 检查 系统 中 的 文件 是 否 设置 了 SUID 和 
SGID, 
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输入 /binVls-1 查询 文件 (或 目录 ) .检查 其 输出 权限 中 是 否 含有 s, 若 有 则 表示 文件 设置 
T SUID 和 SGID, 或 者 用 ncheck-s 命令 检查 系统 中 的 文件 是 否 设置 了 SUID 和 SGID。 fy 
邻 “chmod u+s 文件 名 ”和 “命令 chmod u-s 文件 名 ”用 于 设置 和 取消 SUID,“chmod g 十 s 文 
件 名 ”和 “命令 chmod g-s 文件 名 ”用 于 设置 和 取消 SGID。 当 有 文件 设置 了 SUID 和 SGID， 
可 用 chown 和 chgrp 命令 将 其 全 部 取消 。 

3. 审计 策略 

对 于 管理 员 而 言 ,通常 要 求 其 在 登录 后 ,首先 查看 所 用 账号 的 最 后 登录 时 间 , 以 确定 是 
否 有 被 盗用 情况 。 

who 命令 可 以 查看 utmp 日 志 中 的 内 容 , 显 示 当 前 登录 的 用 户 情况 last 命令 可 以 显示 
user/adm/ wtmp 文件 中 的 内 容 , 用 于 查看 每 一 次 用 户 登 录 和 注销 的 历史 信息 及 系统 的 开机 
关机 ,这 对 于 了 解 正 常 的 登录 模式 和 检测 不 正常 的 登录 活动 是 很 有 益 的 。 图 6-14 是 在 输入 
last 命令 后 的 截图 。 


图 6-14 登录 历史 信息 查看 


root 是 表示 登录 的 用 户 是 root 用 户 ,ttyv0 代表 了 登录 的 设备 ,Thu Feb 18 21:21 显示 
了 登录 的 日 期 和 时 间 ,still logged in 表示 还 在 登录 中 。 若 是 已 退出 登录 的 用 户 , 最 后 部 分 
会 显示 其 登录 后 使 用 的 时 间 。 

由 于 wtmp 日 志文 件 会 记录 每 一 次 用 户 登 录 和 注销 的 历史 信息 ,所 以 在 输入 last 命令 
后 ,会 产生 大 量 的 输出 。 可 以 用 “last 用 户 名 或 设备 名 ”来 显示 指定 的 用 户 和 终端 ,或 者 利用 
grep 命令 去 查找 在 一 定 条 件 下 的 信息 。 如 用 last grep *S(au]'| more 命令 就 可 以 查看 在 
司 末 进行 登录 的 情况 ,也 可 用 *grep-I root/usr/adm/messages" ftt 4 TE / usr/adm/messages 
中 检查 root 用 户 的 登录 情况 和 su root 的 活动 。 

4. 文件 加 密 策略 

对 重要 文件 加 密 在 网 络 是 非常 必要 的 ,在 此 我 们 介绍 两 种 最 为 基本 的 也 是 使 用 最 为 广 
泛 的 文件 加 密 方 法 : crypt 和 des。 

用 命令 “crypt unix-— unixtest > encoded" , n[ 44 44 JJ unixtest 的 文件 利用 密 钥 unix 加 
密 , 并 将 结果 存储 在 encoded 文件 中 。 若 在 加 密 过 程 中 ,忘记 加 入 密 钥 ,系统 会 提示 用 户 输 
入 密 钥 ,如 图 6-15 所 示 。 

注意 ,此 时 添加 的 密 钥 不 会 显示 出 来 。 

加 密 后 ,可 用 cat encoded 命令 查看 加 密 后 的 文件 ,其 显示 如 图 6-16 中 的 第 一 行 所 示 。 
而 后 ,可 以 “crypt unix 二 encoded” 命 令 来 解密 encoded 文件 ,并 将 它 显 示 为 标准 输出 形式 ， 
如 图 6-16 所 示 。 


图 6-15 ”添加 密 钥 图 6-16 密 文 及 其 解密 


与 crypt 加 密 方法 类 似 ,des 的 加 密 命 令 如 下 : 


des -a mix -e unixtest.file encoded.file 
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其 中 ,-a 用 于 指定 密 钥 unix. 而 -e 用 于 指定 des 命令 去 加 密 unixtest 文件 。 文 件 一 旦 被 
加 密 后 ,就 不 再 是 ASCI 码 文本 方式 ,同样 可 用 cat 命令 查看 。 
然后 ,可 用 命令 des-a unix-d encoded, 将 解密 后 的 文件 以 标准 输出 形式 输出 。 


6.3.5 UNIX 安全 防护 


尽管 历年 来 ,UNIX 在 安全 方面 做 了 很 多 努力 ,但 系统 还 是 会 不 可 避免 地 存在 许多 安全 
问题 ,其 新 功能 的 不 断 纳 入 及 安全 机 制 的 错误 配置 ,或 者 是 使 用 者 的 不 当 操作 等 ,都 可 以 带 
来 很 多 的 安全 问题 。 下 面 就 来 介绍 一 下 UNIX 系统 初步 的 安全 防护 。 

1. 及 时 补丁 漏洞 程序 

UNIX 系统 专 有 的 patch 命令 用 于 安装 补丁 程序 ,其 具体 命令 如 下 : 


Patch< patch filename 


管理 员 应 及 时 地 从 系统 供应 商 那 里 获取 最 新 的 漏洞 补丁 。 并 且 需 要 注意 的 是 ,有 的 补 
丁 程 序 可 能 会 更 新 系统 的 默认 设置 。 所 以 在 完成 新 补丁 的 安装 后 ,需要 重新 检查 系统 的 设 
置 情况 ,如 重要 文件 的 读 写 权限 及 相关 系统 重要 的 配置 文件 等 。 

2. 关闭 不 需要 的 服务 

UNIX 系统 启动 时 运行 inetd 进程 ,对 大 部 分 网 络 连接 进行 监听 ,并 根据 不 同 的 申请 启 
动 相 应 的 进程 。 其 中 ,常见 的 网 络 服务 ,如 FTP Telnet, remd,rlogin 和 finger 等 都 由 inetd 
来 启动 其 对 应 的 服务 进程 。 因 此 ,有 很 多 不 必要 的 服务 自动 处 于 激活 状态 ,从 而 导致 系统 处 
于 不 需要 账户 就 可 以 被 入侵 的 危险 环境 中 。 

首先 ,用 root 身份 登录 系统 ,用 如 下 命令 备份 inetd 的 配置 文件 etc/ineted. conf: 


œ/etc/inetd.conf/etc/inetd.conf .BACKUP 


然后 ,编辑 ineted. conf 文件 。 在 需要 关闭 的 服务 的 文件 相应 行 首 插入 # 字 符 。 在 关闭 
了 不 需要 的 服务 后 ,需要 找到 inetd 进程 的 ID 号 ,并 用 kill 命令 发 送 的 HUP 信号 来 刷新 该 
ID 号 ,以 确保 停止 inetd 进程 后 ,设置 依然 有 效 。 


#ps- ef | grep ineted| grep- v grep 

#kill- HUP< ineted- PID» 

在 安全 性 需要 很 高 的 系统 中 ,最 好 注释 掉 Telnet 和 FTP 这 两 项 服务 。 若 要 使 用 此 两 
项 服务 ,要 对 其 使 用 情况 进行 限制 ,如 用 TCP Wrapper 对 使 用 Telnet 或 FTP 的 IP 地 址 进 
行 限制 。 

3. 防止 缓冲 区 溢出 

通过 对 UNIX 常见 漏洞 的 学 习 可 以 知道 ,UNIX 系统 的 安全 大 都 来 自 于 缓冲 区 溢出 。 
攻击 者 通过 写 一 个 超过 缓冲 区 长 度 的 字符 串 , 然 后 植 人 到 缓冲 区 ,可 能 会 出 现 两 个 结果 : 一 
是 过 长 的 字符 串 覆 盖 了 相 邻 的 存储 单元 ,引起 程序 运行 失败 ,严重 的 可 导致 系统 崩溃 ; 另 有 
一 个 结果 就 是 利用 这 种 漏洞 可 以 执行 任意 指令 ,甚至 可 以 取得 系统 root 特级 权限 。 一 些 版 
本 的 UNIX 系统 (如 Solaris 2.6 和 Solaris 7) 具 备 把 用 户 堆栈 设 成 不 可 执行 的 功能 ,以 防止 
缓冲 区 溢出 造成 的 危害 。 

首先 ,以 root 用 户 身份 登录 系统 ,将 /etc/system 文件 备份 。 而 后 ,编辑 /etc/system 文 
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件 ,在 文件 的 最 后 ,插入 以 下 内 容 : 


set noexec user stack-l 

set — RR 15 

在 编辑 完成 后 ,重启 系统 ,以 保证 设置 生效 。 

4. 合理 设置 FTP 

在 安全 性 要 求 较 高 的 系统 中 ,不 允许 FTP 访问 root 和 UUCP。 其 中 UUCP 为 拨号 用 
户 实现 网 络 连 接 提 供 了 简单 经 济 的 方案 ,但 同时 它 也 为 人 侵 者 提供 了 入 侵 手 段 。 

但 如 果 有 对 外 发 布 信息 的 需要 , 便 可 以 创建 匿名 FTP. EA FTP 允许 任何 用 户 使 用 
匿名 FTP, 不 需要 密码 访问 指定 目录 下 的 文件 或 子 目 录 , 且 不 会 对 系统 的 安全 构成 威胁 。 
因为 匿名 FTP 无 法 改变 目录 ,也 就 无 法 为 用 户 提供 系统 内 其 他 的 信息 。 

5. 屏蔽 键盘 中 断 功 能 

UNIX 系统 借助 四 种 方式 提供 功能 : 一 是 中 断 , 内 核 处 理 物理 设备 的 中 断 , 设 备 通 过 中 
断 机 制 通知 内 核 7O 的 完成 情况 ;二 是 系统 调用 ,用 户 进程 通过 系统 内 核 部 分 的 系统 调用 
接口 , 显 式 地 从 内 核 获 得 服务 ,内 核 以 调用 进程 的 身份 执行 用 户 请 求 ; 三 是 异常 ,进程 的 某 种 
不 正常 操作 ,如 除 0 等 ,内 核 会 为 进程 处 理 异常 ;四 是 一 组 特殊 的 系统 进程 执行 系统 级 的 任 
务 ,如 控制 活动 进程 的 数目 或 维护 空闲 内 存 池 等 。 

一 般 用 户 可 以 通过 中 断 的 方法 进入 “*$ "符号 状态 ,因此 ,系统 管理 者 必须 屏蔽 掉 键 盘 的 
中 断 功能 。 由 于 . profile 文件 提供 了 用 户 登 录 程 序 和 环境 变量 ,所 以 要 屏蔽 键盘 中 断 ,可 以 
TE. profile 文件 的 首部 增加 如 下 内 容 : 


trap'!'0123515 


6. 定期 查看 审计 日 志 

CD 定期 检查 系统 日 志文 件 ,在 备份 设备 上 及 时 备份 ,并 且 定 期 检查 关键 配置 文件 ( 建 
议 最 长 时 间 不 超过 一 个 月 )。 

(2) 及 时 删除 系统 不 用 的 软件 包 及 协议 ,如 可 通过 修改 /etc/services 文件 删除 UUCP, 
SNMP, POP 等 协议 。 


6.4 操作 系统 安全 应 用 实例 


黑客 在 攻击 目标 时 ,首先 要 确定 目标 主机 存在 哪些 漏洞 ,是否 可 以 利用 这 些 漏洞 。 所 以 
在 日 常 网 络 管理 中 ,全面 修 复 封 堵 这 些 漏 洞 非常 必要 。 其 中 操作 系统 本 身 的 安全 漏洞 最 受 
黑客 欢迎 ,但 应 用 程序 的 漏洞 也 不 能 熟视无睹, 这 里 将 介绍 如 何 检测 Windows 和 UNIX 系 
统 漏洞 并 修补 ,以 及 这 两 种 系统 下 常用 服务 器 的 安全 配置 。 


6.4.1 Windows 系统 漏洞 的 检测 与 修补 


Microsoft 公司 会 不 定期 的 发 布 一 些 封 堵 安全 漏洞 的 补丁 ,包括 操作 系统 和 软件 ,如 
Windows 系统 „Office 系统 和 Exchange 系统 等 。 对 大 多 数 用 户 来 说 面 对 这 些 安全 漏洞 都 
无 能 为 力 , 最 好 的 方法 就 是 及 时 下 载 并 安装 这 些 补丁 。 有 两 种 方式 可 以 让 用 户 及 时 安装 上 
这 些 补丁 。 
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(1) 使 用 Windows 系统 (如 Windows XP 和 Windows Server 2003 等 ) 自动 更 新 功能 ， 
这 种 方式 要 求 连接 Internet, 并 且 有 些 应 用 软件 并 没有 自动 更 新 补丁 的 功能 。 

(2) 使 用 一 些 工具 软件 来 帮助 分 析 当 前 系统 存在 的 安全 漏洞 ,以 便 及 时 地 发 现 漏洞 的 
存在 ,及 时 下 载 安 装 补丁 。 这 样 的 漏洞 扫描 工具 很 多 ,最 常用 的 有 Nmap, SATAN, Nessus, 
X-scan 等 ,但 这 些 软件 工具 难 找 ,并 存在 一 定 的 风险 。 所 以 也 可 以 用 一 些 常用 的 工具 软件 
来 实现 ,如 金山 毒霸 、360 安全 卫士 等 软件 也 具有 扫描 漏洞 并 修复 漏洞 的 功能 。 这 里 介绍 
Microsoft 基准 安全 分 析 器 (Microsoft Baseline Security Analyzer, MBSA), MBSA 允许 用 
户 扫描 一 台 或 多 台 基 于 Windows 的 计算 机 ,并 检查 操作 系统 和 已 安装 的 其 他 组 件 ( 如 TIS 
fll SQL Server) ,以 发 现 安全 方面 的 配置 错误 ,并 及 时 通过 推荐 的 安全 更 新 进行 修补 。 

1. MBSA 的 主要 功能 

MBSA 包括 了 一 个 图 形 化 和 命令 行 界面 ,可 以 对 Windows 系统 的 本 地 和 远程 进行 扫 
描 , 可 以 支持 对 一 台 计算 机 或 多 台 计算 机 的 扫描 。MBSA 可 以 扫描 如 下 产品 中 常见 安全 错 
误 配 置 SQL Sever 7.0,2000.5. 01 或 更 新 版 本 的 Internet Explorer. Office 2000,2002 和 
2003。MBSA 同样 可 以 扫描 错过 的 安全 升级 补丁 已 经 在 Microsoft Update 上 发 布 的 服务 
包 。 其 主要 功能 包括 以 下 两 个 方面 。 

CD 检查 系统 配置 

MBSA 支持 安全 配置 扫描 ,也 就 是 扫描 过 程 中 MBSA 会 检测 操作 系统 的 安全 配置 和 一 
些 Microsoft 公司 服务 器 或 软件 的 安全 配置 。 

(2) 安全 更 新 

MBSA 可 以 通过 引用 Microsoft 不 断 更 新 和 发 布 XML 文件 (messecure. xml) ,来 确定 
哪些 关键 安全 更 新 应 用 于 系统 ,该 文件 记录 了 安全 更 新 包 和 相关 Microsoft 产品 的 对 应 关 
系 。 也 就 是 说 MBSA 支持 更 新 扫描 ,从 而 让 系统 管理 员 知道 相关 产品 缺少 的 安全 更 新 包 。 

MBSA 支持 更 新 扫描 及 安全 配置 扫描 的 Microsoft 产品 如 表 6-1 所 示 。 


表 6-1 MBSA 支持 的 Microsoft 产品 


产 品 名 称 安全 扫描 更 新 扫描 
Windows 2003/2000/XP/NT 4.0 是 是 
Exchange Server 5. 5 及 更 高 版 本 d 是 
IIS 4. 0 及 更 高 版 本 是 是 
IE 5.01 及 更 高 版 本 是 是 
Office 2000 及 更 高 版 本 是 是 
SQL Server 7.0 及 更 高 版 本 是 是 
Windows Media Player 6. 0 及 更 高 版 本 f 是 


2. 用 MBSA 扫描 修补 漏洞 

MBSA 只 能 在 Windows 2000/XP/2003 系统 上 运行 。MBSA 可 以 到 Microsoft 公司 的 
官方 网 站 http://www. microsoft. com/technet/security/tools/mbsa2/default. mspx 下 载 。 
只 要 按照 “安装 向 导 ” 的 提示 操作 即 可 完成 安装 过 程 。 

下 面 以 图 形 界面 方式 介绍 MBSA 扫描 一 台 计 算 机 的 步骤 。 
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第 1 步 : 单 击 MBSA 主 窗口 中 的 Scan a computer( sk Pick a computer to scan) 菜 单 ,将 


弹出 Pick a computer to scan 对 话 框 ( 见 图 6-17) 。 


ÉF Wicrosoft Baseline Security Analyzer 2.1 


x Microsoft 
€ 9. W Baseline Security Analyzer 


Which computer do you want to scan? 
Enter the name of the computer or its IP address. 


Computer name: 


, IP% = IP address. 
Options: 
Check for Windows administratve vulnerabilities 
Iv] Check for weak passwords 
Check for IIS administrative yinerabiites 
[V] Check for SQL administrative vulnerabiites 
[V] Check for security updates 
E] Configure computers for Mcrosoft Update and scanning prerequisites 
C Advanced Update Services options: 


Learn more about Scanning Options 


Stan Scan  ][ Cancel 


图 6-17 MBSA 配置 页 面 


要 想 让 MBSA 成 功 扫描 计算 机 , 需 在 此 对 话 框 中 进行 正确 地 设置 如 下 参数 ， 

1) 设 定 要 扫描 的 对 象 

MBSA 提供 两 种 方式 : 

(1) 在 Computer name 文本 框 中 输入 计算 机 名 称 , 格 式 为 “工作 组 名 \ 计 算 机 名 ”。 默 认 
情况 下 ,MBSA 会 显示 运行 MBSA 的 计算 机 的 名 称 。 

(2) f£ IP address 文本 框 中 输入 计算 机 的 IP 地 址 。 

在 此 文本 框 中 允许 输入 在 同一 个 网 段 中 的 任意 TP 地 址 ,但 不 能 输入 跨 网 段 的 IP, 否 则 
会 提示 Computer not found. (计算 机 没有 找到 ) 的 信息 。 

2) 设 定安 全 报告 的 名 称 格式 

每 次 扫描 成 功 后 ,MBSA 会 将 扫描 结果 以 “安全 报告 ”的 形式 自动 地 保存 起 来 。MBSA 
允许 用 户 自行 定义 安全 报告 的 文件 名 格式 ,只 要 在 Security report name 文本 框 中 输入 文件 
格式 即 可 。MBSA 提供 两 种 默认 的 名 称 格式 :“%D%-%C%〈(%T%)”( 域 名 -计算 机 名 (日 
3) BD RI" ?6D?6-96IP26. ATA)” GIU -TP 地 址 (日 期 截 ) ) 。 

3) 设 定 扫描 中 要 检测 的 项 目 

在 默认 情况 下 ,无 论 计算 机 是 否 安装 了 Office, IIS 等 多 种 Microsoft 软件 产品 , MBSA 
都 会 检测 计算 机 上 是 否 存在 以 上 软件 的 漏洞 。 这 不 但 浪费 扫描 时 间 , 而 且 影 响 扫 描 速 度 。 
用 户 可 以 根据 自身 情况 进行 选择 ,对 于 一 些 没 有 安装 的 软件 可 以 不 选 ,例如 ,车 没有 安装 
SQL Server, 则 可 不 选中 Check for SQL administrative vulnerabilities 复 选 项 ,这 样 能 缩短 
扫描 时 间 ,提高 扫描 速度 。 

MBSA 提供 了 让 用 户 自主 选择 检测 的 项 目的 功能 。 只 要 用 户 选 中 (或 取消 )Options 中 
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某 个 复 选项 ,就 可 让 MBSA 检测 (或 忽略 ) 该 项 目 。 允许 用 户 自主 选择 的 项 目 有 : 

e Check for Windows administrative vulnerabilities( 检 查 Windows 的 漏洞 ) ; 

* Check for weak passwords (Ez Zt 9 3 (1) 4c 4e TE) ; 

* Check for IIS administrative vulnerabilities f$ fr IIS 系统 的 漏洞 ) ; 

e Check for SQL administrative vulnerabilities fg ft SQL Server 的 漏洞 ) 。 

至 于 其 他 项 目 ( 如 Office 软件 的 漏洞 等 )MBSA 会 强制 扫描 。 

4) 设 定安 全 漏洞 清单 的 下 载 途径 

在 全 面 扫描 计算 机 前 ,MBSA 需要 一 份 安全 漏洞 清单 (漏洞 的 详细 信息 ,例如 ,什么 软 
件 隐 含 漏 洞 .漏洞 存在 的 具体 位 置 .漏洞 的 严重 级 别 等 ) 为 蓝本 ,将 计算 机 上 安装 的 所 有 软件 
与 安全 漏洞 清单 进行 对 比 。 如 果 发 现 某 个 漏洞 ,MBSA 就 会 将 其 写 人 到 安全 报告 中 。 因 此 ， 
要 想 让 MBSA 准确 地 检测 出 计算 机 上 是 否 存 在 漏洞 ,安全 漏洞 清单 的 内 容 是 否 是 最 新 的 就 
至 关 重 要 了 。 目前 MBSA 提供 了 两 种 更 新 方法 : 

(D 从 Microsoft 官方 网 站 上 下 载 

Microsoft 会 在 它 的 官方 网 站 上 及 时 发 布 最 新 的 安全 漏洞 清单 ,所 以 MBSA 被 默认 设 
置 为 每 一 次 扫描 时 自动 链接 到 Microsoft 官方 网 站 下 载 最 新 的 安全 漏洞 清单 。 如 果 用 户 已 
经 下 载 了 最 新 的 安全 漏洞 清单 , 则 可 取消 Check for security updates 复 选 项 。 和 否则 应 该 选 
中 此 复 选 项 ,以 确保 安全 漏洞 清单 的 内 容 是 最 新 的 。 

(2) 从 SUS 服务 器 上 下 载 

有 些 局 域 网 中 架设 了 SUS(Software Update Services, 软 件 升 级 服务 ) 服 务 器 ,所 以 此 
类 用 户 可 以 选择 此 方法 下 载 最 新 的 安全 漏洞 清单 ,只 要 选中 Use SUS Server 复 选 框 ,并 在 
其 下 的 文本 框 中 输入 SUS 的 地 址 即 可 。 

第 2 步 : 设置 好 各 项 参数 后 单 击 Start Scan 菜单 ,将 弹出 Scanning 对 话 框 ( 见 图 6-18)， 
MBSA 将 开始 扫描 指定 的 计算 机 。 


Er Baseline Security Analyzer 2. 


Microsoft 
f^ 9, t* Baseline Security Analyzer 


Done dowrlosding security update information. 


图 6-18 MBSA 扫描 页 面 
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58 32b. 扫描 完成 后 , MBSA 会 将 扫描 的 结果 以 安全 报告 的 形式 默认 保存 到 CIN 
Documents and Settings\Administrtor\SecurityScans 的 文件 夹 中 。 

第 4 步 : 除了 保存 扫描 结果 ,MBSA 还 会 自动 弹出 View security report 对 话 窗 ( 见 
图 6-19) ,显示 出 安全 报告 的 内 容 。 


Score Issue 


Loca Account — Some 
Passnord Test 
Fle System 


Automate 

Updates at d v 

Incomgete talaton was not completed, You must restart your computer to finish the instalation, If the 
Updates ^ ty update, then the computer may be at risk unti the computer is restarted. 


Wndows 
Frewall 
Guest Account 


Reset 
Anonymous 


Admeistrators 


Autogen 


图 6-19 MBSA 报告 页 面 


在 扫描 结果 中 主要 有 Security Update Scan Results, Windows Scan Results, Internet 
Information Services (IIS) Scan Results, SQL Server Scan Results 和 Desktop Application 
Scan Results 五 种 。 用 户 可 以 根据 安全 报告 的 Score 列 中 不 同 颜色 的 图 标 来 简单 区 分 被 扫 
描 的 计算 机 存在 安全 漏洞 的 等 级 : 
绿色 的 万 图 标 表示 该 项 目 已 经 通过 检测 。 
红色 的 锅 图 标 表示 该 项 目 存在 严重 安全 隐患 。 
黄色 的 畔 图 标 表示 该 项 目 存 在 中 等 级 别 的 安全 隐患 。 
ux [Eb HT RUD MBSA 跳 过 了 其 中 的 某 项 检测 。 

蓝 色 的 向 图 标 表示 是 一 些 附 加 信息 。 

第 5 步 : 修补 系统 漏洞 。 

图 6-20 显示 了 图 6-21 中 一 个 安全 漏洞 ,由 图 可 以 看 出 被 扫描 主机 的 用 户 设置 了 空 密 
码 或 密码 太 简 单 , 单 击 How to correct this 链接 ,进入 Microsoft 公司 的 MBSA 的 帮助 页 
Tij ,按照 页 面 中 Instructions 项 ( 见 图 6-24) 的 步骤 ,完成 漏洞 的 修补 。 


Q Laicont Some user: 
Password Test What was scann 


ve blank or smgle passwords, or could not be analyzed, 
sult dt How to corect this 


6-20 Local Account Passwords 安全 漏洞 
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lnstructiong 
To change password policy settings in Windows Server 2008, Windows Vista, Windows Server 2003 
1. Open the Control Panel. 


2. Double-click Administrative Tools, and then double click Local Security Policy. 
3. Double-click the Account Policies folder, and ther select the Password Policy folder. 
4. Double-click the policy that you want to change and then specify the new policy setting. 


To change password policy settings in Windows XP Home Edition 
1. Open the Control Panel. 
2. Select User Accounts. 


3. Click the user account you would [ike to change and select the Password function. 


图 6-21 MBSA 帮助 页 面 Instructions 


6.4.2 Windows 中 Web, FTP 服务 器 的 安全 配置 


1. Windows Server 2003 的 WWW 服务 器 的 安全 配置 

IIS 网 站 的 网 页 最 好 保存 在 NTFS 分 区 内 以 便 通过 NTFS 权限 来 增加 网 页 的 安全 性 。 
安装 步 又 如 下 : 

(1) 安装 Windows Server 2003 。 

(D 选择 “开始 ">“ 控 制 面板 ”>“ 更 改 或 删除 程序 ”>“ 添 加 /删除 Windows 组 件 ? 选 项 , 弹 
出 “Windows 组 件 向 导 ” 对 话 框 。 在 组 件 列表 中 ,选中 “应 用 程序 服务 器 ”组件 ,如 图 6-22 所 示 。 

© 单 击 “ 详 细 信 息 ” 按 钮 ,弹出 如 图 6-23 所 示 的 对 话 框 ,选中 “Internet 信息 服务 (IIS)” 


组 件 。 
X 
X 
E Mtr 
indors f - PME AAEE”. 
DR vicio tb. Tá ud At 
Ls 应 用 程序 服务 器 的 了 组件) 
FeiERR<SREH A nternet 信息 服务 15) 27.4 MB 
ZOBER om 访问 0.08 
amo: DOBERA m 访问 0.0 mB 
OPINE 00m 到 O 万 消息 队列 700 
口 的 网络 服务 2.6 uB v 'BERSSRRASSMA oom 司 
EE TES dés RMGHENUEG Se 应 用 程序 
RT em 本 
gk E ASP.NET, Internet 信息 最 务 0TS) 和 应 用 程序 服务 器 控制 
TRERSH. miim Er 
«r-5e|[r-5m»| mm L2] 
图 6-22 ”选中 “应 用 程序 服务 器 "组 件 图 6-23 "Internet 信息 服务 (1IS) ”组件 


© 单 击 "详细 信息 ?按钮 ,选择 的 子 组 件 包 括 *Internet 信息 服务 管理 器 *“ 万 维 网 服务 ” 
和 "文件 传输 协议 (FTP) 服 务 ? 等 ,建议 全 部 选择 这 些 子 组 件 。 

© 在 “万 维 网 服务 ?可 选 组 件 中 包括 重要 的 子 组 件 , 如 Active Server Pages 和 远程 管理 
(HTML) ,要 查看 和 选择 这 些 子 组 件 , 选 中 “万 维 网 服务 " 复 选 框 ,然后 单 击 “详细 信息 ”按钮 
即 可 。 
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(2) 配置 WWW 服务 器 。 

IIS 6. 0 安装 完成 后 ,需要 一 定 的 配置 才能 提供 服务 。 

CD 配置 IP 地 址 ,选择 “Internet 信息 服务 管理 器 ”一 “网 站 ”>“ 默 认 网 站 ”选项 , 右 击 ,在 
弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,弹出 如 图 6-24 所 示 的 “默认 网 站 属性 ”对 话 框 ,在 “网 
站 ”选项 卡 中 , 单 击 IP 地 址 右边 的 下 拉 列 表 , 选 择 访问 该 网 站 时 提供 服务 的 IP 地 址 ,如 果 服 
务 器 有 多 个 地 址 ,也 可 以 单 击 “ 高 级 ”选项 添加 多 个 IP. 


默认 网 站 T3 ES] 


Iv 局 用 日 志 记录 QD 
活动 日 志 格式 W: 
jac SEE PER 了 | mu... | 


[wx ] we | mmo | m | 


图 6-24 “上 默认 网 站 属性 “网 站 ”选项 卡 


O 设置 默认 目录 ,默认 的 网 站 主 目录 是 LocalDrive: \Inetpub\wwwroot(LocalDrive 
是 安装 Windows 系统 的 磁盘 驱动 器 ) 。 为 了 系统 安全 ,默认 目录 一 般 设置 为 NTFS 格式 的 
其 他 分 区 ,在 上 图 “默认 网 站 属性 ”对 话 框 中 选择 “ 主 目 录 ” 选 项 卡 ,如 图 6-25 所 示 ,选择 主 目 
录 所 在 位 置 。 


axi 
xmi | BÆR | BITS 服务 器 扩展 | Server Extensions 2002 
网 站 | 性 能 | ITSAPI 第 过 器 FER | xe | 目录 安全 性 
此 资源 的 内 容 来 目 : 


C 此 计算 机 上 的 目录 QD 
C 另 一 各 计算 机 上 的 共享 5) 


C 重 定向 到 WLU 
HERD [E: test. ARO 
厂 ESRR F 记录 访问 
Ie SRO fv RIED 
厂 SAM 
T 目录 浏览 @) 
应 用 程序 设置 
ERREUR W pime o 
开始 位 置 GARI 
REO 
执行 权限 D L— 
应 用 程序 池 QD ; [Defaul tAppPool 5550 


确定 | mm ERW Li] 
图 6-25 “ 主 目录 ”选项 卡 
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通常 情况 下 , Web 网 站 需要 至 少 一 个 默认 文档 ,IIS 6. 0 搭建 Web 网 站 时 ,默认 文档 的 
文件 名 有 5 种 ,分 别 为 : default. html, default. asp ,index. htm,iisstar. htm 和 default. aspx。 
如 图 6-26 所 示 ,在 访问 时 ,如 本 书 搭建 平台 中 输入 http://192. 168. 18. 88 时 ,系统 会 自动 
按照 顺序 从 上 到 下 去 匹配 默认 目录 中 是 否 有 这 些 文件 ,直到 第 一 次 匹配 ,如 没有 则 返回 
错误 。 


aix 
xri | BÆR | BITs 服务 器 扩展 | Server Extensions 2002 | 
网 站 ”| 性 能 | rswersmem | 主 上 录 — 文档 | 目录 安全 性 | 


ED] 


BED. 


LT 启用 文档 页 脚 @@) 
nun HNL 18305070 833)/Z80 web 服务 器 返回 的 每 一 个 文 


ED 


xm | umo «m | 


图 6-26 “文档 ”选项 卡 


(3) 对 WWW 服务 器 (IIS) 进 行 安全 设置 。 

在 进行 IIS 安全 配置 之 前 还 需要 对 Windows 2003 服务 器 进行 一 些 安全 配置 ,如 将 一 些 
危险 的 服务 禁止 ,关闭 机 器 上 开启 的 共享 文件 ,只 开发 必须 的 端口 等 ,这 里 就 不 讲解 了 。 
IIS 的 安全 配置 主要 从 以 下 几 点 入 手 : 

CD 删 掉 C:/inetpub 目录 ,删除 TIS 不 必要 的 映射 。 

© 使 用 主机 的 每 个 Web 站 点 都 应 该 新 建 单独 的 IIS 来 宾 用 户 , 这 样 即使 一 个 网 站 由 于 
后 台 漏 洞 被 入 侵 也 不 会 波及 整 台 服务 器 ,整个 服务 器 管理 权限 不 会 沦陷 。 

大 部 分 WWW 访问 都 是 匿名 的 ,客户 端 请 求 时 不 需要 使 用 用 户 名 和 密码 ,但 对 安全 要 
对 用 户 身 份 进行 验证 ,IIS6.0 提供 5 种 验证 方法 : 

。 匿名 验证 : 允许 客户 对 Web 网 站 匿名 访问 ,此 种 方式 对 网 站 进行 访问 时 ,并 不 要 求 
输入 用 户 名 和 密码 。IIS 会 自动 创建 名 为 IUSR computername 的 Windows 用 户 账 
户 , 其 中 computername 是 正在 运行 IIS 服务 器 的 名 称 , 如 果 启 用 了 匿名 FTP 身份 
认证 则 IIS 始终 先 使 用 该 种 认证 方法 。 

。 基本 身份 验证 : 该 种 认证 方法 ,要 求 提供 用 户 名 和 密码 。 基 本 身份 认证 方式 用 户 输 
入 的 用 户 名 及 密码 是 以 明文 方式 在 网 络 上 传输 ,安全 性 很 低 。 

。 Windows 域 服 务 器 的 摘要 式 身 份 认证 : 摘要 式 身 份 认证 提供 与 基本 认证 相同 的 功 
能 ,但 是 摘要 式 身 份 认证 将 凭据 作为 MD5 哈 希 或 消息 摘要 在 网 络 上 传输 (无 法 从 哈 
硕 中 解密 原始 的 用 户 名 和 密码 ) 。 

。 集成 Windows 身份 验证 : 集成 Windows 身份 验证 (以 前 称 为 NTLM 或 Windows 
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NT 质询 /响应 验证 ) 是 一 种 安全 的 验证 形式 ,因为 在 通过 网 络 发 送 用 户 名 和 密码 之 
前 , 先 将 它们 进行 哈 硕 计算 。 当 启用 集成 Windows 身份 验证 时 ,用 户 的 浏览 器 通过 
与 Web 服务 器 进行 密码 交换 (包括 Hash) 来 证 明 其 知晓 密码 。 集 成 Windows 身份 
验证 是 Windows Server 2003 家 族 成 员 中 使 用 的 默认 验证 方法 。 

。 . NET Passport 身份 验证 : 它 为 用 户 提供 了 单一 登录 安全 性 ,也 就 是 说 用 户 只 登录 
一 次 即 可 访问 其 他 授权 的 服务 。 可 使 用 户 在 访问 启用 了 .NET Passport 的 网 站 和 
服务 时 更 加 安全 。 启 用 了 .NET Passport 的 站 点 依靠 . NET Passport 中 央 服 务 器 
来 对 用 户 进行 身份 验证 。 但 是 ,该 中 央 服 务 器 不 会 授权 或 拒绝 特定 用 户 对 各 个 启用 
T . NET Passport 的 站 点 进行 访问 。 控 制 用 户 的 权限 由 网 站 负责 。 选 择 此 选项 
时 ,对 IS 的 请 求 必 须 在 查询 字符 串 或 Cookie 中 包含 有 效 的 .NET Passport 凭据 。 
如 果 IIS 不 检测 .NET Passport 凭据 ,这 些 请 求 就 会 被 重 定向 到 . NET Passport 
登录 界面 。 

一 般 在 禁止 匿名 访问 情况 下 , 才 启 用 其 他 验证 方式 ,下 面 以 “默认 网 站 ”为 例 介绍 如 何 设 

置 来 宾 账 号 ,验证 方式 以 及 访问 权限 : 

。 右 击 “ 我 的 电脑 "图标 一 “管理 ”>“ 本 地 用 户 和 组 ”。 左边 栏目 中 选择 “组 ”, 右 击 , 选 

择 “ 新 建 组 ”, 新 建 一 个 组 名 webguestgroup, 加 上 描述 。 如 图 6-27 所 示 。 


C 计算机 管理 
Szto Mo sv mo "ho 
c+ Om o  —— 


计算 机 管理 GERD 
É FAIR #30: 


&mo.| se 


图 6-27 添加 webguestgroup 组 


* 右 击 左边 栏目 中 所 选 的 “用 户 ” ,选择 “新 建 用 户 ” ,新建 一 个 用 户 webguest, 加 上 描 
述 , 设 置 密码 (后 面 IIS 设置 中 需要 此 密码 ) ,将 用 户 下 次 登录 时 需 更 改 密码 前 的 勾 
去 除 ,同时 勾 选 用 户 不 能 更 改 密码 和 密码 永 不 过 期 ,如 图 6-28 所 示 。 

* 设置 webguest HP RJE F webguestgroup 组 , 删 掉 原来 的 所 属 组 Users, 如 图 6-29 
所 示 。 

。 选择 “Internet 信息 服务 (IIS)”>“ 网 站 ”>“ 上 默认 网 站 ”选项 , 右 击 并 在 出 现 快捷 菜单 
中 选择 “属性 ”命令 ,选择 “目录 安全 性 ”选项 卡 , 单 击 “ 身 份 验 证 和 访问 控制 "选项 区 
域 中 的 “编辑 ”按钮 , 弹出 “身份 验证 方法 ”对 话 框 , 在 输入 要 选择 对 象 名 称 中 输入 
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扎 计算 机 管理 
HENE 运程 控制 |  SMARSREX | MA 
Bro Mw 查看 Y) mw 帮助 名 zA RET | 配置 文件 | 环境 | 会 话 


E E 


brace VF BPTIRESET ARIS 
mere v 用 户 不 能 更 改变 码 @) 
e 服务 和 应 用 程 密码 水 不 过 期 人 


I APERA O [12:3] 


关闭 中 确定 取消 应 用 内 
图 6-28 添加 webguest 组 图 6-29  webguest 用 户 隶 属 组 


webguest, 如 图 6-30 所 示 。 
。 此 时 要 求 用 户 在 “身份 验证 方法 "对话 框 中 输入 “webguest 用 户 " 的 密码 ,密码 要 输 
入 两 次 ,如 图 6-31 所 示 。 


xi x 
mx 月 用 匿名 访问 有 一 一 一 一 一 一 一 一 一 一 一 一 月 用 匿名 访问 四 一 
网 站 | 对 匿名 访问 使 用 下 列 Windows APP: 对 匿名 访问 使 用 下 列 Windows APP: 

-身份 驻 证 和 | 用 户 名 QW); [50-BAEEBAB544C\Jxdpe-webz UW Œ)... | 用 户 名 WD: [60-BAF2BAAB544C\webeuest — DEBE... 
t ap: ooo SBE: rr 
IP 地址 和 
| A 「 用 户 访问 需 经 过 身份 验证 i 
axi 
选择 对 象 类 型 D 
对 和 类 型 @)...| 
查找 位 置 他 ) 
D-BAEEBAABSA4C SEQ... 
[Gers 厂 NET Passport SHPINE TD 
输入 要 选择 的 对 象 名 称 A) E): 
[webguest AUAM. QUI [ M D 
Ant a [-———ÁÓUBSeS 
mw | —- | we | we | mw | mo | 
图 6-30 添加 匿名 账户 图 6-31 匿名 账户 密码 设 定 


。 最 后 修改 默认 网 站 目录 的 访问 权限 .将 Administrators: CREATOR OWNER. 
SYSTEMS 的 用 户 组 删除 。( 有 些 组 提示 不 能 删除 ,是 因为 继承 权限 的 原因 ,可 以 点 
击 上 图 中 的 “高 级 ”, 将 "允许 父 项 的 继承 项 传播 到 该 对 象 和 所 有 子 对 象 " 色 去除 , 选 
择 “ 应 用 ”) 添 加 上 新 建 用 户 webguest, 并 设置 其 权限 .去除 * 完 全 控制 权限 ”, 如 

图 6-32 所 示 。 
© IIS 管理 后 台 设 置 限定 IP 地址 访问 ,仅仅 开放 需要 进入 后 台 的 IP。 选 择 “Internet 信息 
服务 (1IS)” 一 “网 站 ”>“ 上 默认 网 站 ”选项 ,找到 后 台 管 理 网 页 所 在 文件 或 目录 (本 例假 设 后 台 管 
理 页 面 所 在 目录 为 admin) , 右 击 并 在 出 现 快捷 菜单 中 选择 “属性 ”命令 ,选择 “目录 安全 性 ”选项 


196 


第 6 章 网 络 操作 系统 安全 分 析 及 防护 


卡 ,点 击 其 中 “IP 地 址 和 域名 限制 "右边 的 “编辑 ”按钮 。 弹 出 如 图 6-33 所 示 对 话 框 , 先 选择 “ 拒 
绝 访问 "拒绝 所 有 的 计算 机 访问 ,然后 选择 “添加 ”按钮 来 设置 可 以 进入 后 台 的 计算 机 IP. 


EE 
BR | 文档 。 目录 安全 性 m 头 | BENNA) 
EE 身份 验证 和 访问 控制 
共享 ”安全 E Y j8E GU WE RARIOR HAEN 
*m | [ve zt | 自 定义 | | [v4 tu TUE 
钥 或 用 户 名 称 0 : hd 
Administrators (GD-BAEEBAABS44C\Administrators) 

EF CREATOR OWNER TP 地 址 和 域名 限制 

E srsten IP Internet 域名 授权 或 

€ webguest (GD-BAEEBAABS44C\webguest) 9 ibis A- 

S... 
Smo | ew | xi 

webguest 的 权限 下) 允许 IP 地 址 访问 限制 

完全 控制 g n B BURET, AMHER: f CO RBIJA 

修改 [zz] n 

wpRuEG B n TAREA A c fei QD 

Jut CHEXE BS 回 口 

读 取 口 

写 入 D og 

a = A 
ERU RERSUNORE , iab "mU". ERTA 

2 ae 取消 3h00 
Lm ] we | mnw | = rmm | me | ommo | 
图 6-32 匿名 用 户 权限 设 定 图 6-33 IP 地址 和 域名 限制 


(D 防止 ASP 木马 程序 人 侵 , 一 般 有 三 种 方式 : 

。 上传 目 录 的 权限 选择 无 执行 权限 ,即使 上 传 木马 也 会 因 无 执行 权限 而 入侵 失败 。 例 
如 本 例 中 有 upload 目录 为 上 传 目录 , 按 图 6-34 所 示 方 式 设置 后 ,该 目录 下 的 文件 没 
有 执行 权限 。 


imi vi 


D ae y OO ax 
emm xa 目录 “| 文档 | 目录 安全 性 | ITTP 头 | 自 定义 错误 | 
2|mmI XU nezs: 


V4 Internet 信息 服务 
Ej I GD-BAEEBAASSA4C [本 地 i| ^ 
fL) FIP 站 点 
m) 应 用 程序 池 
Bom 
c E RUA 
Bai vti bin To 记录 访问 
HS ES F RO Iv SI D 
B SUSdefasl t, £. F EAW 
Pens 厂 目录 浏览 @) 
由 Microsoft Shar: 
S) va 服务 扩展 deii 
四 PRU, SWTP 虚拟 服务 应 用 程序 客厅 [UEBER 
5 dy ERU mr 虚拟 服务 a 二 mo | 
) vo | 
ATER: ARE - 
RREI Defaul tAppF ool X BED | 
Ir EN] Lm» | sme | ww | 
T 


图 6-34 上 传 文件 目录 的 权限 设 定 


。 上传 的 文件 加 上 IP 地 址 限制 ,只 允许 信息 员 计 算 机 进行 IP 地 址 访问 。 和 管理 员 后 
台 设 置 为 指定 IP 访问 一 样 ,这 里 就 不 再 叙述 了 。 
* 加 入 防 注入 代码 ,在 上 传 文件 入 口 处 或 关键 程序 中 增加 一 行 代码 调用 防 注 入 程序 ， 
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例如 : < !-- include FIIE- ". ./adnin/check.asp"- - >, 现在 有 很 多 现成 的 代码 可 以 利 
用 ,如 比较 出 名 的 “SQL 通用 防 注入 系统 ”。 
(4) 测试 服务 器 。 在 “默认 网 站 属性 ”对 话 框 ( 见 图 6-25) 中 单 击 “ 应 用 ”按钮 ,并 向 默认 
目录 (本 书 是 下 : \test) 中 添加 一 个 默认 网 页 (本 书 是 default. htm) ,就 可 以 测试 Web 服务 器 
是 否 配 置 成 功 。 


打开 浏览 器 “地 址 栏 " 输 入 http://192. 168. 18. 88 出 现 网 页 内 容 则 基本 配置 成 功 ,执行 
结果 如 图 6-35 所 示 。 


文件 四 ) QD SEV 收藏 由 IA MPW | 2 
QmB-QO-ii:|5sm >er Glo 过世 
ik qo [18] necp 77182. 169 1.007 


icrozoi £t Software Update Services, 校园 网 络 中 心 提 供 了 校 
内 WindowsUpdate 自动 更 新 服 和 器 , 旺 当 返 用 于 你 的 计划 机 的 重要 更 新 发 布 时 ， 它 会 及 时 提要 你 下载 和 吻 装 。 合 用 自动 更 新 可 以 在 弟 一 时 介 更 
新 您 的 指 作 系统 ， 修 复 系 纺 损 洞 ， 保 护 作 的 计算 机 安全 


PARRA Ni nd ovs REMIR ERIE 需要 下 载 安装 自动 更 新 客户 婉 软 件 的 系统 : 
© Microsoft Windows 


S 
© Microsoft Windows XP SPI 以 下 版 本 


声明 : EERS MARR B FRAR t trare Update Services， 忆 限于 上 海 大 学 术 轩 网 用 户 使 用 。 本 服务 昌 经 反 
SOME» aA ENS m E CIS ATE 
KEERN HENS. MEFR (GR RRE” TA, tad “RTRA” 


Be Bl 


: Lf 
dese 


LT TT lez 
图 6-35 用 浏览 器 访问 网 站 显示 的 内 容 
2. FTP 服务 器 安装 及 安全 配置 
1) FTP 服务 器 的 安装 
FTP 服务 器 的 安装 具体 步骤 如 前 面 的 IIS 安装 步骤 中 已 经 讲解 ,值得 注意 的 是 ,在 


"Internet 信息 服务 (IIS)" 对 话 框 的 “详细 信息 ?列表 框 中 ,必须 选中 ”文件 传输 协议 (FTP) 服 
务 " 复 选 框 ,如 图 6-36 所 示 。 


x 
RRHEHSESS E 
Internet 信息 服务 OIS) 


SE PREE F: €—— 


Internet 信息 服务 GS) FEH O: 


6-36 ”选中 “文件 传输 协议 (FTP) 服 务 " 复 选 框 
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2) FTP 服务 器 的 基本 配置 和 安全 配置 

普通 情况 下 ,FTP 服务 器 的 基本 配置 有 主 目录 与 目录 格式 列表 配置 FTP 站 点 标识 、 连 
接 限制 和 日 志 记 录 配 置 .FTP 站 点 消息 设置 .验证 用 户 身份 配置 .限制 FTP 连接 的 IP 地 址 
配置 等 。 这 里 简要 介绍 其 中 一 些 配置 ,具体 步骤 如 下 : 

(1) 设置 主 目录 与 目录 格式 列表 。 一 般 来 说 ,每 个 FTP 站 点 都 应 该 有 自己 的 主 目录 ， 
对 于 IS 6.0, 可 以 选择 “Internet 信息 服务 管理 器 ”>“FTP 站 点 ”默认 FTP 站 点 ?选项 ， 
右 击 , 选 择 “ 属 性 ”命令 ,选择 “ 主 目录 ”选项 卡 , 如 图 6-37 所 示 ,本 书 设置 为 E:\ftptest。 其 中 
三 个 复 选 框 可 以 设置 用 户 的 访问 权限 。 

KIE] 
m 站 点 | 安全 帐户 | 消息 。 主 目录 | 目录 安全 性 | 
此 资源 的 内 容 来 源 : 


C 此 计算 机 上 的 目录 四) 
C 另 一 台 计 算 机 上 的 目录 (D 
[HIP 站 点 目录 


mug: [eto MEOS. 
F ERO 


T RAW 
克 记录 访问 中 


三 目录 列表 样式 
FW 
C MS-DOS 0) (S) 


CE] xa HO Li] 
图 6-37. “默认 FTP 站 点 "属性 “ 主 目录 ”选项 卡 


。 读 取 : 可 以 下 载 文 件 。 

。 写 入 : 可 以 上 传 文件 。 

。 记录 访问 : 启动 日 志 , 将 连接 到 此 FTP 站 点 的 行为 记录 到 日 志文 件 内 。 

(2) 设置 FTP 连接 限制 和 日 志 记 录 。 

选择 “Internet 信息 服务 管理 器 ”一 "FTP 站 点 ”一 "默认 FTP 站 点 ”选项 , 右 击 ,选择 “ 属 
性 ”选项 ,弹出 “默认 FTP 站 点 属性 ”对 话 框 ,选择 FTP 站 点 ”选项 卡 ,如 图 6-38 所 示 , 有 三 
个 选项 区 域 : 

(D “FTP 站 点 标识 ”选项 区 域 : 该 区 域 要 为 每 一 个 站 点 设置 不 同 的 识别 信息 : 

。 描述: 输入 站 点 描述 信息 。 

* IP 地 址 : 若 此 计算 机 内 有 多 个 IP 地 址 ,可 以 指定 只 有 通过 某 个 IP 地 址 才 可 以 访问 


FTP 站 点 。 
。 TCP 端口 : FTP 默认 端口 是 21 ,可 以 修改 此 号 码 , 不 过 修改 后 ,用 户 要 连接 此 站 , 必 
须 输入 端口 号 码 。 


© “FTP 站 点 连接 ?选项 区 域 : 该 区 域 用 来 限制 同时 可 以 有 多 少 个 连接 。 
名 “启用 日 志 记录 ?选项 区 域 : 该 区 域 用 来 设置 将 所 有 连接 到 此 FTP 站 点 的 记录 存储 
到 指定 文件 。 
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ixi 
me 站 点 | 安全 帐户 | 消息 “| 主 目录 | 目录 安全 性 | 
[FIR 站 点 标识 
SEW: 
IP Hihb CD: 192. 168. 18.68 x| 
TCP 端口 T): a 
FIP 站 点 连接 
C 不 受 限 制 中 
C ERRIA QD. 100,000 
连接 超时 (E D - 120 
[T 启用 日 志 记 录 名 ) 
活动 日 志 格式 V: 
[rsc 扩展 日 志文 件 格式 z] meo | 
当前 会 话 


Lu] mmo) | wm 
图 6-38 “默认 FTP 站 点 ”属性 “FTP 站 点 ”选项 卡 


(3) 验证 用 户 的 身份 。 

IIS 6.0 支持 FTP 身份 验证 有 两 种 方式 : 匿名 FTP 身份 验证 和 基本 FTP 身份 验证 。 

(D 匿名 FTP 身份 验证 : 允许 客户 对 FTP 资源 匿名 访问 ,此 种 方式 对 资源 进行 访问 时 ， 
并 不 要 求 输入 用 户 名 和 密码 。IIS 会 自动 创建 名 为 IUSR. computername 的 Windows 用 户 
账户 ,其 中 computername 是 正在 运行 IS 服务 器 的 名 称 , 如 果 启 用 了 匿名 FTP 身份 认证 则 
IIS 始终 先 使 用 该 种 认证 方法 。 

© 基本 FTP 身份 认证 : 该 种 认证 方法 ,要 求 客户 与 FTP 服务 器 连接 时 ,必须 拥有 合法 
的 Windows 账户 。 如 果 FTP 服务 器 不 能 证 实用 户 的 身份 .服务 器 就 返回 一 条 错误 信息 。 
基本 FTP 身份 认证 方式 用 户 输入 的 用 户 名 及 密码 是 以 明文 方式 在 网 络 上 传输 。 

选择 “Internet 信息 服务 管理 器 ”一 “FTP 站 点 ”默认 FTP 站 点 ”选项 , 右 击 ,选择 “ 属 
性 ”命令 ,弹出 “默认 FTP 站 点 属性 ”对 话 框 ,选择 “安全 账户 ”选项 卡 , 如 图 6-39 所 示 。 

aixi 


FTP 站 点 安全 帐户 | 消息 | 主 目录 | 目录 安全 性 | 
FF RESERO 
ME GUSHERITAI Windows MPRP: 

用 户 各 QD): [TUSR_GD-BAEEBMES445 O MEG. 
mo: Fr 


T REESE 


x | mmo | am | 
图 6-39 “安全 账户 ?选项 卡 
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(4) 限制 FTP 连接 IP 
可 以 配置 FTP 站 点 ,允许 或 拒绝 特定 的 计算 机 、 计 算 机 组 或 域 访问 FTP 站 点 。 选 择 


"Internet 信息 服务 管理 器 ”一 “FTP 站 点 ”>“ 上 默认 FTP 站 点 ”选项 , 右 击 ,选择 “属性 ”命令 ， 
弹出 “默认 FTP 站 点 属性 ”对 话 框 ,选择 “目录 安全 性 ”选项 卡 。 如 图 6-40 所 示 , 可 以 先 选 择 
“授权 访问 ” ,允许 所 有 计算 机 都 有 权 访问 ,然后 选择 “添加 按钮 来 设置 拒绝 的 计算 机 ,或 者 
先 拒绝 所 有 的 计算 机 访问 ,然后 选择 “添加 ”按钮 来 设置 可 以 访问 的 计算 机 。 


EE 
m 站 点 | 安全 帐户 | 消息 “| 主 目录 ”目录 实 全 性 | 
一 TCF/IF 地 址 访问 限制 
默认 情况 下 ， 所 有 计算 机 都 格 被 : e 授权 访问 @@) 
下 面 列 出 的 除外 4) C desee QD 
访问 IP 地 址 GREB) 


取消 应 用 QD Ls] 


图 6-40 “安全 账户 ”选项 卡 


3) FTP 服务 器 测试 
打开 DOS 命令 提示 符 窗口 ,输入 命令 ftp192. 168. 18. 88 ,然后 在 User (192. 168. 18. 88: 


(none)) :处 输入 匿名 账户 anonymous, 在 提示 输入 Password 时 ,输入 空 密码 即 可 ,如 
图 6-41 所 示 。 


图 6-41 FTP 匿名 登录 


6.4.3 UNIX 系统 漏洞 的 检测 与 修补 


I] Windows 一 样 ,UNIX 的 漏洞 主要 来 源 于 操作 系统 的 安全 漏洞 和 应 用 软件 的 漏洞 ， 


以 及 一 些 软件 的 配置 不 当 造 成 ,要 构建 一 个 安全 的 系统 ,系统 管理 员 需 要 用 漏洞 检测 工具 
(或 弱点 扫描 工具 ) 检 测 出 系统 及 服务 漏洞 并 下 载 相 应 的 补丁 (一 般 著 名 的 系统 都 会 不 定期 
发 布 一 些 封 堵 安全 漏洞 的 补丁 ) 或 修改 不 当 的 配置 。 对 UNIX 的 弱点 扫描 工具 也 非常 多 ， 
不 过 大 多 是 商业 版 本 ,价格 也 比较 昂贵 ,所 幸 在 Open Source 的 领域 中 也 有 不 少 弱点 扫 撒 工 
具 可 以 选择 ,其 中 以 Nessus 最 负 盛 名 , 它 可 以 运行 于 所 有 类 UNIX 系统 。 
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1. Nessus 弱点 扫描 工具 的 操作 架构 
如 图 6-42 所 示 ,Nessus 系统 分 为 Server 及 Client 两 部 分 ,在 检测 一 台 主 机 时 ,必须 在 
Nessus Client 设 定 所 需要 检测 的 项 目 等 信息 ,接着 
再 通过 Nessus Client 对 Nessus Server 下 达 所 要 执 
行 的 任务 , 待 Nessus Server 接 到 命令 之 后 ,就 会 对 
目标 主机 进行 检测 的 动作 ,然后 将 检测 的 结果 交 给 


Nessus Client, 
Nessus Server 
2. Nessus 服务 器 的 下 载 与 安装 a 
C 
P d 


用 户 可 以 直接 到 Nessus 的 官方 网 站 下 载 
Nessus 服务 器 套件 ,下 载 地 址 为 http://www. Nessus Client 
nessus. org/download。 注 意 Nessus4.2 版 本 区 别 于 图 6-42 Nessus 操作 架构 图 
以 前 的 版 本 ,架构 模式 由 原来 的 C/S 模式 变 为 了 
B/S 模式 ,也 就 是 说 如 果 服 务 器 使 用 的 是 Nessus 4. 2 版 本 ,不 需要 去 下 载 客 户 端 ,直接 用 浏 
览 器 连接 服务 器 端 就 可 以 完成 设置 。 
这 里 介绍 的 是 Nessus Server for RHEL5.0 的 安装 ,下 载 及 安装 流程 如 下 : 
(1) 进入 Nessus 主页 面 ,如 图 6-43 所 示 ,选择 Download 链接 ,如 图 6-44 所 示 。 


试 主机 


>TENABLE 
Network Security" 

Solutions | Products | — Neseuse | Demos Partners | OnlineStore | 
Download Documentation ProfessionalFeed 
Download Nessus now! Documentation about Audit desktops, servers 

Nessus and databases with PCI, 
FDCC, CIS and other 
standards. 
Enterprise Products Features 
See all the security checks Our line of enterprise Nessus main features 
performed by Nessus products 


图 6-43 Nessus 主页 面 


(2) 阅读 Nessus Server 许可 协议 内 容 后 单 击 I Accept 按钮 ,进入 下 载 页 面 ,如 图 6-45 
所 示 。 

(3) 选择 Red Hat ES5(32 bits) 进 行 下 载 , 下 载 的 文件 名 为 Nessus-4. 2. 0-es 5. 1386. rpm, 

(4) 安装 之 前 需要 到 http://www. nessus. org/plugins/? view = register-info 注册 。 
虽然 Nessus 是 免费 的 ,但 是 Nessus Server 是 以 扩充 模块 的 方式 增加 其 所 能 检测 的 弱点 范 
围 , 所 以 ,Nessus Server 必须 经 常 更 新 ,否则 就 无 法 检测 出 近期 被 发 现 的 安全 漏洞 ,而 “ 模 
块 "是 需要 收费 的 。 幸 运 的 是 , Nessus 组 织 也 提供 免费 的 更 新 ,不 过 这 些 模块 不 是 最 新 的 ， 


Ni. 
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Network Security 


Online Store 


Tenable Network Security, Inc. 
NESSUS (R) 
software license Agreement 


Grant of Software License. 


This is a legal agreement ("Agreement") between Tenable Network Security, Inc., 
a Delaware corporation having offices at 7063 Columbia Gateway Drive, Suite 
100, Columbia, MD 21046 ("Ienable"), and you, the party licensing Software 
("You"). This Agreement covers Your permitted use of the Software. BY 
CLICKING BELOW YOU INDICATE YOUR ACCEPTANCE OF THIS AGREEMENT AND YOU 
ACKNOWLEDGE THAT YOU HAVE READ ALL OF THE TERMS AND CONDITIONS OF THIS 
AGREEMENT, UNDERSTAND THEM, AND AGREE TO BE LEGALLY BOUND BY THEM. If You do 
not agree with the terms of this Agreement, You may not use the Software, as 
such term is defined below. The Software can only be provided to You by 
Tenable. The term "Agreement" includes any exhibits to the document. The 
Subscription Agreement set forth in Exhibit A, which governs the use of 
Inclusive Plugins, if any, and the HomeFeed or Commercial Subscriptions (as 
each of those terms is defined in Exhibit A), is incorporated by reference. 


Grant. Subject to the terms and conditions, and Your acceptance, of this 
Agreement, Tenable grants to You a perpetual, non-exclusive, non-transferable ”图 


图 6-44 Nessus 协议 接受 页 面 


Download Nessus 4.2.0: 


{$ 
» Ubuntu 8.10 and 9.04 (64 bits): 
Nessus-4.2.0-ubuntu810 amd64.deb (7536 KB) 


à Generic Linux binary (intel/32 bits): 
Nessus-4.2.0-linux- generic32.tar.gz (12651 KB) 


E» 
‘A Ubuntu 8.04 (32 bits): 
Nessus-4.2.0-ubuntu804 i386.deb (7615 KB) 


6 Fedora Core 11 (64 bits): 
Nessus-4.2.0-fc11.x86 64.rpm (7678 KB) 

E. SuSE 10 Enterprise (64 bits): 
Nessus-4.2.0-suse10.x86 64.rpm (7616 KB) 


6 Fedora Core 10 (32 bits): 
Nessus-4.2.0-fc10.1386.rpm (7017 KB) 


6 Fedora Core 12 (64 bits): 
Nessus-4.2.0-fc12.x86 64.rpm (6816 KB) 


^ Red Hat ES 5 (32 bits) / CentOS 5: 
Nessus-4.2.0-es5.1386.rpm (7596 KB) 


Using Nessus at work? When using Nessus in a 
corporate environment (even when scanning your 
company's own servers) you must subscribe to 
the ProfessionalFeed. Not only is this the Right 
Thing To Do, but the ProfessionalFeed gives you 
access to more plugins (including PCI), pre- 
configured auditing policies, and commercial 
support. Click below for more information: 


EA 0 | 


图 6-45 


Nessus 下 载 页 面 


而 是 最 新 模块 公布 之 后 的 第 7 天 ,用 户 才 可 以 免费 获得 。 在 此 选择 HomeFeed 选项 ,如 
图 6-46 所 示 ,而 ProfessionalFeed 选项 是 需要 收费 的 。 
G) 进入 如 图 6-47 所 示 的 Nessus Register 页 面 ,自行 阅读 内 容 后 单 击 I Accept 按钮 ， 
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Solutions Products Nessuse Demos Partners Online Store. 


Select a subscription 


ProfessionalFeed"* HomeFeed" 


Using Nessus at work? The ProfessionalFeed Using Nessus at home? The HomeFeed 
subscription is required for all uses of Nessus subscription is free and for Home use only. 
outside of the Home. 


图 6-46 Nessus 注册 页 面 一 


进入 下 一 个 页 面 , 如 图 6-48 所 示 。 


Æ TENABLE 
«up USNAS -Ss 
Network Security 
Solutions | Products Nessus ® Demos | partners | Onlinestore | 
y Nessus Register a HomeFeed (non-professional usage only) 
+ Download 1 
[Tenable Network Security, Inc. 
^ Plugins 
SUBSCRIPTION Agreement 
- Newest Plugins 
- Obtainan activation | |75:3 is è legal agreement ("Subscription Agreement") 
code between Tenable Network Security, Inc., a Delaware 
2 Corporation having offices at 7063 Columbia Gateway Drive, 
view all plugins Suite 100, Columbia, MD 21046 ("Tenable"), and you ("You"), 
- Search the party downloading the Plugins through Tenable's 
Subscription service or using Inclusive Plugins provided 
» Documentation with Nessus Software (as each capitalized term is defined 
^ Register below). This Subscription Agreement covers Your permitted 
use of the Plugins. 3Y CLICKING BELOW YOU INDICATE YOUR 
x Buy Now |ACCEPTANCE OF THIS SUBSCRIPIICN AGREEMENT AND YOU 
+  ProfessionalFeed ACKNOWLEDGE THAT YOU HAVE READ ALL OF THE TERMS AND 
Support CONDITIONS OF THIS SUBSCRIPTION AGREEMENT, UNDERSTAND THEM, 
+ Bugs AND AGREE TO BE LEGALLY BOUND BY THEM. If You do not agree 
with the terms of this Subscription Agreement, You may not 
y Allthe Tenable use the Plugins as defined below. The Plugins may only be 
Products provided to You by Tenable. 
* 
ITS 


图 6-47 Nessus 注册 页 面 二 


(6) 在 注册 页 面 三 中 输入 E-mail( 模 块 更 新 的 注册 码 会 发 送 到 该 邮箱 ), 然 后 单 击 
Register 按钮 ,完成 注册 。 

(7) 在 注册 完成 后 , Nessus 组 织 会 将 更 新 的 授权 码 通过 E-mail 邮箱 发 给 用 户 , 如 
6-49 所 示 ,其 中 介绍 了 在 不 同 平台 上 的 更 新 方式 及 授权 码 。 

(8) 按 图 6-50 所 示 ,安装 Nessus Server。 
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Register a HomeFeed (non-professional usage only) 


To stay up-to-date with the Nessus plugins, you need to register with 
an email address to which an activation code will be sent : 


Your email address : I 


The provided email address will not be communicated to any 3rd party 
company 


Note that You are not eligible to subscribe to the HomeFeed Subscription if 
You are a corporation, a governmental entity or any other form of 
organization. You may not subscribe to the HomeFeed Subscription to use 
the Plugins on a computer owned by your employer or otherwise use the 
Plagins for the benefit of or to perform any services for any corporation, 
governmental entity or any other form of organization. 

If you intend to use the Plugin Feed commercially, you need to obtain a 
ProfessionalFeed 


图 6-48 Nessus 注册 页 面 三 


Linux and Solaris Users : 


To activate your account, simply execute the following command : 


Jopt/nessus/bin/nessus-fetch —register 7484-71D1-0A49-CO82-FDO2 


图 6-49  Nessus Reply 的 更 新 方式 及 授权 码 


[rootélocalhost S1]* rpm -ivh Nessus-4.2.0 
Preparing... 1005] 
1:Nessus [1001] 


nessusd (Nessus) 4.2.0 [build K9080] for Linux 
(C) 1998 - 2009 Tenable Network Security, Inc. 


— Please run /opt/nessus//sbin/nessus-adduser to add a user 

— Register your Nessus scanner at http://www.nessus.org/register/ to obtain 
all the newest plugins 

— You can start nessusd by typing /sbin/service nessusd start 


图 6-50 Nessus Server 安装 


(9) 为 Nessus Server 添加 使 用 者 账号 ,Nessus Server 上 的 账号 是 独立 于 系统 账号 之 
外 的 账号 其 用 途 是 给 Nessus Client 登录 时 验证 使 用 . Nessus Server 套件 中 所 包含 的 
nessus-adduser 工具 可 以 用 来 创建 账号 ,操作 方式 如 图 6-51 所 示 。 

(10) 用 E-mail 中 的 提示 注册 Nessus Server, 具 体操 作 如 图 6-52 所 示 。 

(11) 启动 Nessus Server 服务 器 ,具体 操作 如 图 6-53 所 示 。 

3. Nessus Client 的 操作 

安装 完 Nessus Server 后 ,就 可 以 直接 启动 浏览 器 登录 Nessus Server 进行 设置 操作 了 ， 
注意 ,Nessus Server4. 2 不 再 使 用 默认 的 1241 端口 等 待 连接 ,而 是 使 用 8834 端口 。 具 体 步 
又 如 下 : 

(1) 连接 Nessus Server, 如 连接 本 地 计算 机 上 的 Nessus Server, 在 浏览 器 地 址 栏 中 输 
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入 https: 


[rootélocaihost S1]* /opt/nessus//sbin/nessus-adduser 
Login : nessus 

Login password : 

Login password (again) : 
Do you want this user to be a Nessus 'admin' user ? (can upload plugins, etc...) 
G/n) [n]: y 

User rules 

nessusd has a rules system which allows you to restrict the hosts 

that nessus has the right to test. For instance, you may want 

him to be able to scan his own host only. 


Please see the nessus-adduser manual for the rules syntax 
Enter the rules for this user, and enter a BLANK LINE once you are done : 
(the user can have an empty rules set) 


Login : nessus 


Password : 
This user will have 'admin' privileges within the Nessus server 
Rules : 


Is that ok ? (y/n) [y] y 


图 6-51  Nessus Server 添加 账号 


[rootelocalhost S1]* /opt/nessus/bin/nessus-fetch —register 7A84-71D1-0449-C092 
-FD02 

Your activation code has been registered properly — thank you. 

Now fetching the newest plugin set from plugins.nessus.org... 

Your Nessus installation is now up-to-date. 

If auto update is set to 'yes' in nessusd.conf, Nessus will 

update the plugins by itself. 


图 6-52 注册 Nessus Server 


[rootélocalhost S1]& /opt/nessus/sbin/nessus-service -D 
[rootélocalhost S1]& nessusd (Nessus) 4.2.0 [build K9080] for Linux 
(C) 1998 - 2009 Tenable Network Security, Inc. 


Processing the Nessus plugins... 


All plugins loaded 


图 6-53 启动 Nessus Server 


//127.0. 0. 1:8834/ 完 成 连接 。 连 接 后 出 现 如 图 6-54 所 示 界 面 ,输入 Nessus 


Server 中 设 定 的 账号 和 密码 登录 。 


Nessus 
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y Tenable Network Security 


图 6-54 Nessus 客户 端 浏览 器 登录 界面 
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(2) 如 图 6-55 所 示 ,选择 操作 选项 。 登 录 上 Nessus Server 后 ,有 四 个 主 选 项 分 别 对 应 


四 个 页 面 : 
E Nessus 
Reports 


图 6-55 Nessus Client 主要 选项 


* Reports 单 击 进入 查看 扫描 结果 页 面 。 

。 Scan 单 击 进入 设置 扫描 对 象 .策略 等 页 面 , 该 页 面 中 启动 扫描 。 

。 Policies 单 击 进 入 策略 设置 页 面 。 

* Users 页 面 可 以 添加 、 删除 Nessus Server 账户 。 

这 里 是 第 一 次 扫描 ,所 以 需要 先 定义 扫描 策略 , 单 击 Policies 进入 该 页 面 。 

(3) 制定 扫描 策略 。 在 扫描 之 前 要 先 定义 扫描 策略 ,在 Policies 主页 面 中 单 击 Add 按 
钮 ,添加 一 个 扫描 策略 。 策 略 定制 一 共有 四 个 页 面 。 

General 页 面 如 图 6-56 所 示 。 在 Basic 选项 中 输入 策略 名 称 ,visibility 选项 可 以 选择 策 
略 描述 和 策略 是 否 与 其 他 用 户 共享 Scan 选项 中 的 多 选 框 可 以 选择 是 否 采 用 安全 方式 扫 
描 ,Nessus 是 否 记 录 扫 描 日 志 , 是 否 扫 描 不 在 线 的 主机 ,是 否 扫 描 关 闭 的 端口 ,是 否 解析 主 
机 名 等 选项 ;采用 安全 方式 扫描 屏蔽 了 一 些 对 远程 主机 有 和 危险 的 插件 ;通过 设置 不 扫描 不 在 
线 的 主机 或 者 进入 扫描 开放 的 端口 ,可 以 减少 网 络 流量 ;network congestion 选项 可 以 设置 
网 络 阻塞 时 Nessus 如 何 扫描 。Port Scanners 选项 可 以 设置 扫描 方式 。Nessus 支持 的 扫描 
方式 包括 TCP HH UDP 扫描 、SYN AHi SNMP 扫描 以 及 扫描 之 前 是 否 Ping 主机 等 , 具 
体 采用 哪 种 方式 扫描 可 以 根据 实际 情况 来 定 。 在 Port Scan Option 选项 中 可 以 自动 找到 要 
扫描 的 端口 ,没有 指定 则 采用 默认 的 端口 扫描 。 最 后 一 项 是 设置 并 发 连接 数 。 


图 6-56 Nessus 策略 定制 General 页 面 


图 6-57 是 第 二 个 Credentials 页 面 , 该 页 面 可 以 配置 需要 远程 登录 的 系统 的 认证 信息 。 
包括 Windows 登录 信息 、ssh 登录 信息 、 数 据 库 登 录 信 息 、Kerberos 登录 信息 和 HTTP 登 
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SMB account 


General 
SMB password 


Credentials SMB domain (optional) 


SMB password type 

Additiona SMB account (1) 
Additional SMB password (1) 
Additional SMB domain (optional) (1) 
Additiond SMB account (2) 
Additional SMB password (2) 


Additional SMB dom: 


MB password (3) 


Additional SMB domain (optional) (3) 


图 6-57 Nessus 策略 定制 Credentials 页 面 


完成 证 书 配置 后 , 单 击 Next 按钮 进入 Plugins 页 面 , 如 图 6-58 所 示 , 这 也 是 最 关键 的 页 
面 。 截 至 目前 ,Nessus 支持 的 42 种 分 类 、33032 等 漏洞 信息 ,大 致 可 以 分 为 操作 系统 漏洞 、 网 
络 设备 漏洞 .后 门 .CGI 漏洞 .数据库 漏洞 .DNS 漏洞 .Web 服务 等 。Nessus 正 是 按照 漏洞 库 中 
的 信息 去 匹配 被 扫描 的 目标 ,具体 选择 哪些 漏洞 需要 根据 扫描 对 象 设置 ,也 要 根据 经 验 来 判断 
应 该 选择 哪些 漏洞 。 这 里 由 于 要 对 操作 系统 扫描 ,所 以 选择 FTP, RPC, Web Servers 和 Red 
Hat Local Security Checks 。 单 击 Next 按钮 进入 如 图 6-59 所 示 页 面 进行 Preferences 设置 。 


i) PesrTopee Fik Sharng BO 5c serra Enterprise Linux ires 
«5s RedHat update vel 

I@ 34030 semote ^os: nas a compromised Red Hat OperSSr ?aoage inte led 
I@ 12535 RHSAa0219 bnd 
lg ot arsaa: prrg 
12522 3-54 200-121: aueh 
EQ use seem caim 


|@ Potsames 


SCADA 
ig STP poems 
© SINP 


图 6-58 Nessus 策略 定制 Plugins 页 面 


策略 制定 最 后 一 个 页 面 是 Preferences 页 面 ,在 该 页 面 Plugin 下 拉 列 表 选 择 参数 设置 。 
这 里 可 以 设置 数据 库 的 登录 信息 ,是 否 扫 描 网 络 打印 机 和 Novell Netware 主机 ,配置 扫描 
时 过 滤 的 端口 ,配置 错误 页 面 等 。 截 图 中 所 示 的 是 对 数据 库 的 设置 。 至 此 扫描 策略 设置 成 
功 , 单 击 Submit 按钮 保存 后 ,就 可 以 使 用 定义 的 扫描 策略 创建 扫描 任务 了 。 

(4) 设置 扫描 目标 、 选 择 定义 扫描 策略 并 启动 扫描 。 单 击 主 界 面 上 方 的 Scans 按钮 ， 
弹出 创建 扫描 任务 窗口 ,输入 本 次 任务 的 名 称 ,这 里 是 scanl ,选择 先前 定义 的 扫描 策略 ， 
在 Scan Targets 选项 中 输入 要 扫描 的 主机 IP 地 址 列表 或 者 范围 ,如 果 IP 地 址 保存 在 文件 
中 可 从 “Targets File” 选 项 中 选择 .设置 完成 后 单 击 Launch Scan 按钮 开始 扫描 ,如 
图 6-60 所 示 。 
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Policies 


& Add Policy 


Login 
Password 

DB Type 
Database SID 


Preferences Database port to use 


[ESE NORMAL v 


图 6-59 Nessus 策略 定制 Preferences 页 面 


Scans 


[ Add Scan 
Name 


Policy 


ELO M 102.100.1696 


Targets File 


Cancel Launch Scan 


图 6-60 Nessus 扫描 设置 页 


面 
CO 查看 扫描 结果 。 单 击 主页 面 上 的 Reports 按钮 ,进入 Reports 页 面 , 在 扫描 结果 中 
双击 用 户 命名 的 扫描 (scan1) ,如 图 6-61 所 示 。 


Reports 


| Completed Feb 17, 2010 16:37 


图 6-61 扫描 结果 选择 页 面 


双击 后 进入 该 扫描 的 详细 报告 页 面 ,如 图 6-62 所 示 , 左 侧 的 Download Report 可 以 下 
载 评估 报告 ;Show Filters 可 以 设置 过 滤器 ,如 只 显示 高 级 别 报警 ,这 样 就 可 以 按照 威胁 级 
别 进行 准确 筛选 。 
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Reports 


Report Info. 


Name: sant Host 
Last Update: Feb 17, 2010 1651 192 168.1898 249 


Status: Completed 


Filters 


Download Report 


Hide Fliers 


Reset Flters 


Adive Filters 


图 6-62 扫描 结果 报告 首页 面 


双击 Host 可 以 列 出 详细 的 漏洞 评估 报告 。 如 哪个 端口 存在 威胁 ,危险 等 级 是 多 少 。 
如 图 6-63 所 示 , 有 111 个 严重 危险 漏洞 。 


Reports 


Report info 


I Hosts 


0 tp general 210 " 
22 tp ssh 5 o 

m tp rpoportmapper 
m udp mpoportmapper 


32768 udp filenetms? 


图 6-63 ”扫描 结果 主机 开放 的 端口 


再 次 双击 某 个 端口 就 可 以 显示 出 该 端口 下 漏洞 的 名 字 、Plugin ID 危险 等 级 。 这 里 选 
T£ OCO 号 端口 是 保留 端口 ,通常 用 于 分 析 操 作 系统 ), 如 图 6-64 所 示 。 

再 次 双击 其 中 的 一 个 漏洞 可 以 查看 该 漏洞 的 详细 信息 ,漏洞 信息 包括 概要 、 描 述 、 解 决 
办 法 .相关 操作 系统 连接 、CVE 号 .CVSS 评分 等 信息 ,如 图 6-65 所 示 。 

4. 漏洞 的 修补 

下 面 以 图 6-65 中 所 示 漏 洞 讲解 系统 漏洞 的 修补 ,该 漏洞 是 RHSA-2008-0146 漏洞 ,是 
gd 包 存 在 远程 溢出 漏洞 ,黑客 可 以 利用 该 漏洞 执行 特权 代码 ,解决 方式 如 图 中 Solution 所 
示 , 可 以 下 载 最 新 的 更 新 包 , 并 给 出 了 操作 系统 网 站 的 一 个 链接 http://rhn. redhat. com/ 
errata/ RHSA-2008-0146. html, 打 开 该 链接 ,看 到 如 图 6-66 所 示 页 面 。 
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Plugin ID. Port 


31306 generaliop 
34229 RHSA-2008-0893: bzip. generaltop 

33475 RHSA-2008-0583: compat generaltop 

111 /tcp 43883 RHSA-2010-0040; php generato 
111/7 udp 32428 RHSA-2008-0489: gnus generan 
631/udp zsm RHSA-2007-0992: libpng generat 
848/ 34288 RHSA-2008-0885: kemel generatio 
31308 RHSA-2008-0159: dbus generallop 

36099 RHSA-2000-0362: gstreamer generan 

31086 RHSA-2006-0129: kernel generaltop 

RHSA-2009- 1504: poppler generalt 

RHSA-2009-1463: newt generali 

RHSA-2008-0239: poppler generato 

RHSA-2009-1455: kemel. generaltop 

RHSA-2009-0046: nip generavap 


Plugin ID: 
Plugin Name: 


7.5 (CVSS2#AV:NIAC:LJAU:NIC:P/L:PIA:P) 


Plugin Output 
Remote package installed : gd-2.0.33-9.3 fc6 
Should be : gd-2.0.33-9 4.05, 1.1 


CVE 

CVE-2006-4484 
CVE-2007-0455 
CVE-2007-2756 
CVE-2007-3472 
CVE-2007-3473 
CVE-2007-3475. 
76 


图 6-65 RHSA-2008-0146 漏洞 详细 信息 


Solution 


Before applying thís update, make sure that all previously-released 
errata relevant to your system have been applied. 


This update is available via Red Hat Network. Details on how to use 
the Red Hat Network to apply this update are available at 
http://kbase.redhat.com/fag/FAQ 58 10188 


Updated packages 


RHEL Desktop Workstation (v. 5 client) 


SRPMS: 


23-2 EE E ud 


File outdated by: RHSA-2010:0003 


lA-32: 


46a35b 


gd-devel-2.0.33-9.4.el5 1.1.1386.rpm 
File outdated by: RHSA-2010:0003 


图 6-66 RHSA-2008-0146 漏洞 补丁 页 面 
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从 图 中 可 以 看 出 该 漏洞 只 需要 下 载 页 面 中 列举 的 补丁 便 可 以 封 堵 该 漏洞 。 
6.4.4 UNIX 中 Web FTP 服务 器 的 安全 配置 


1. Apache 服务 器 安全 配置 

Apache 服务 器 是 目前 应 用 最 为 广泛 的 Web 服务 器 , 它 可 以 提供 一 个 安全 的 Web 操作 
环境 。 然 而 ,尽管 Apache 堪 称 安全 的 产品 ,但 如 果 在 构建 你 的 服务 器 时 没有 采取 一 些 安全 
预防 措施 ,这 种 Web 服务 器 仍 易于 受到 攻击 。 

Apache 服务 器 主要 容易 受到 以 下 几 种 形式 的 攻击 。 

1) HTTP 协议 进行 的 拒绝 服务 攻击 

攻击 者 会 通过 某 些 手 段 使 服务 器 拒绝 对 HTTP 应 答 。 这 样 会 使 Apache 对 系统 资源 
(CPU 时 间 和 内 存 ) 需 求 的 剧 增 ,最 终 造成 Apache 系统 变 慢 ,其 至 完全 瘫痪 。 

2) 缓冲 区 溢出 

攻击 者 利用 程序 编写 的 一 些 缺 陷 , 使 程序 偏离 正常 的 流程 。 程 序 使 用 静态 分 配 的 内 存 
保存 请 求 数据 ,攻击 者 就 可 以 发 送 一 个 超 长 请 求 使 缓冲 区 溢出 。 

3) 被 攻击 者 获得 root 权限 

如 果 Apache 以 root 权限 运行 ,系统 上 一 些 程序 的 逻辑 缺陷 或 缓冲 区 溢出 漏洞 ,会 让 攻 
击 者 容易 获得 本 地 服务 器 上 管理 员 root 权限 ,从 而 控制 整个 系统 。 

一 个 安全 的 Apache 服务 器 需要 合理 配置 ,这 里 把 配置 方法 进行 一 些 总 结 : 

CD 勤 打 补丁 。 

Apache 服务 器 被 发 现存 在 一 个 安全 缺陷 时 ,Apache 的 开发 人 员 都 会 尽快 地 编写 出 相 
应 的 补丁 。 补 丁 的 详细 信息 可 以 查看 Apache 官方 网 站 http://www. apache. org. 

(2) 隐藏 和 伪装 Apache 版 本 。 

通常 情况 下 ,软件 的 漏洞 信息 和 操作 系统 及 服务 器 版 本 是 相关 的 ,默认 情况 下 ,系统 会 
把 Apache 版 本 模块 通过 HTTP 返回 头 显示 到 客户 端 浏览 器 ,同样 默认 情况 下 目录 浏览 被 
启用 ,访问 一 个 并 不 包含 其 所 需要 文档 的 目录 的 用 户 ,会 看 到 此 目录 中 完整 的 内 容 列 表 。 解 
决 方式 是 修改 配置 文件 /etc/httpd/conf/httpd. conf 文件 。 找 到 下 列 两 行 : 

ServerSignature On 

ServerTokens OS 


改 为 : 


ServerSignature Off 

ServerTokens Prod 

(3) 确保 Apache 以 及 自身 的 用 户 账号 和 组 运行 。 

有 的 Apache 安装 过 程 使 得 服务 器 以 nobody 的 用 户 运行 ,所 以 ,假定 Apache 和 你 的 邮 
件 服务 器 都 是 以 nobody 的 账号 运行 的 ,那么 通过 Apache 发 起 的 攻击 就 可 能 同时 攻击 到 邮 
件 服务 器 ,反之 亦 然 。 解 决 方法 是 .必须 保证 Apache 使 用 一 个 专门 的 用 户 组 ,不 要 使 用 系 
统 预定 义 的 账号 ,因为 只 有 root 用 户 可 以 运行 Apache, 所 以 网 站 根 目 录 应 该 能 够 被 管理 
Web 站 点 内 容 的 用 户 访 问 和 使 用 Apache 服务 器 的 Apache 用 户 和 用 户 组 访问 。 所 以 ,如 果 
希望 g] HPE Web 站 点 发 布 内 容 , 并 且 可 以 以 httpd 身份 运行 Apache 服务 器 ,可 以 按照 
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如 下 方式 设置 。 


Groupada wegl 
usermpd - G webgl gl 

chom -R httpd.webgl /var/www/html 
chmod -R 2570 /var/www/html 


日 志 一 般 只 有 root 用 户 才能 查看 ,所 以 这 个 目录 的 权限 应 设置 为 : 


chom -R root.root/etc/httpd/logs 
chmod -R 700 /etc/logs 


(4) Web 目录 的 访问 策略 。 

CD 禁止 使 用 目录 索引 。 

Apache 服务 器 在 接收 到 用 户 对 一 个 目录 的 访问 时 ,会 查找 该 指定 目录 下 的 索引 文 
TE ,默认 是 index. html, 如果 该 文件 不 存在 ,那么 Apache 会 创建 动态 列表 为 用 户 显 示 该 目 
录 的 内 容 , 这 样 的 设置 会 暴露 Web 站 点 结构 ,因此 需要 修改 配置 文件 禁止 显示 动态 目录 
索引 。 

@ 禁止 默认 访问 。 

可 以 设 定 某 些 特定 的 目录 只 能 有 哪些 用 户 访问 。 

设置 httpd. conf 如 下 : 


< Directory /var/ww/html/admin> 
Options - Indexes FollowSymLinks 
Order allow,deny 
Allow frm 192.168.18.88 
AllowOverride None 
< /Directory> 
“< Directory/var/www/html/admin >” H Æ X} H 3&/var/www/html/admin 进行 设 
置 ,“Options-Indexes FollowSymLinks” 指 定 该 目录 不 允许 使 用 目录 索引 。“Order allow, 
deny ”指定 控制 访问 顺序 ,这 种 情况 下 表示 禁止 所 有 客户 端 访问 , 且 Allow 字段 在 Deny 字 
段 前 匹配 ,如 果 即 匹配 Allow 字段 又 匹配 Deny 字段 , 则 Deny 字段 最 终生 效 , 也 就 是 说 
Deny 会 覆盖 Allow, "Order deny.allow ” 则 相反 。”Allow from 192. 168. 18. 88” 指 定 该 目 
录 访 问 控制 是 只 允许 来 至 192. 168. 18. 88 的 用 户 连接 ,其 他 IP 地 址 的 用 户 都 不 能 访问 
admin 目录 。 
(5) 关闭 includes, CGI 执行 程序 和 服务 器 端 包含 功能 。 
这 也 可 以 通过 在 Directory 标签 内 使 用 Option 命令 来 实现 。 设 置 Option 为 None 或 者 
Includes。 如 果 不 用 CGI 和 客户 端 包含 功能 ,也 可 以 把 它 关 闭 。 
修改 httpd. conf 配置 如 下 : 


< Directory /var/www/html. > 
Options- Includes- ExecOGI- IncludesNcExec 
Allowoverride None 
< /Directory» 
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C6) 关闭 任何 不 必要 的 模块 。 

Apache 通常 会 安装 几 个 模块 ,浏览 Apache 的 module documentation ,了 解 已 安装 的 各 
个 模块 是 做 什么 用 的 。 很 多 情况 下 ,你 会 发 现 并 不 需要 激活 那些 模块 。 

找到 httpd. conf 中 包含 LoadModule 的 代码 。 要 关闭 这 些 模 块 , 只 需要 在 代码 行 前 添 
加 一 个 # 号 。 要 找到 正在 运行 的 模块 ,可 以 用 以 下 语句 : 


grep LoadModule httpd.conf 


(7) 其 他 安全 工具 的 使 用 。 

除了 上 述 配 置 外 ,还 有 一 些 不 错 的 方法 和 工具 让 Apache 更 牢固 ,如 chroot 机 制 、 
Apache 的 SSL 功能 ,mod_security 增强 Web 安全 等 方法 。 前 两 种 比较 常见 , mod_security 
模块 是 Apache Security 的 作者 Ivan Ristic 所 写 的 一 个 非常 好 用 的 一 个 Apache 模块 。 可 
以 用 它 实现 以 下 功能 : 

请 求 过 滤 : 当 请 求 提交 时 ,在 对 提交 的 数据 被 Web 服务 器 或 其 他 程序 使 用 之 前 进行 
分 析 。 

避免 逃避 技术 : 在 对 数据 进行 分 析 之 前 将 路 径 和 参数 一 般 化 ,以 避免 遗漏 。 

理解 HTTP 协议 : 由 于 引擎 能 够 理解 HTTP 协议 , 故 能 进行 特殊 的 细 粒 度 的 检查 。 
POST 数据 分 析 : 引擎 将 截取 采用 POST 方式 传递 的 数据 审计 纪录 ,能 够 详细 记录 
每 一 组 请 求 的 内 容 ( 包 括 POST 的 内 容 ) 以 备 日 后 详细 分 析 。 

。 HTTPS 过 滤 : 由 于 引擎 内 嵌入 服务 器 ,所 以 可 以 访问 解密 后 的 请 求 数据 。 

由 于 篇 幅 有 限 ,这 三 种 方式 这 里 就 不 做 详细 说 明 。 

2. FTP 服务 器 的 安全 配置 

FTP 是 传统 的 网 络 服务 程序 , 它 在 网 络 上 用 明文 传送 口令 可 数据 ,黑客 很 容易 截获 这 
些 口令 和 数据 。 除 此 之 外 ,匿名 访问 方式 在 FTP 服务 器 中 广泛 被 使 用 ,由 于 匿名 FTP 不 需 
要 真正 的 身份 认证 ,因此 很 容易 为 入侵 者 提供 一 个 访问 通道 ,配合 缓冲 区 溢出 攻击 ,会 造成 
很 严重 的 后 果 。 

FTP 服务 器 面临 的 安全 隐患 主要 包括 : 缓冲 区 溢出 攻击 (Buffer Overflow) ,数据 嗅 探 、 
匿名 访问 缺陷 。 如 果 可 以 不 使 用 匿名 访问 方式 建议 可 以 设置 虚拟 用 户 , 除 此 之 外 还 可 以 启 
用 FTP 的 SSL 功能 。 下 面 是 虚拟 用 户 的 设置 ,以 及 启用 SSL 功能 设置 的 步骤 : 

1) 设置 虚拟 用 户 

(1) 创建 用 户 文本 文件 。 


vi/vftp/vuser.txt 
添加 虚拟 账号 may 和 chales. 


may 
123 
Chales 
123 


(2) 生成 数据 库 。 


do load- T-t hash- f /ftp/vuser.txt /vftp/vuser.db 
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ls/vftp 

vuser.db — vuser.txt 

(3) 修改 数据 库 访问 权限 。 

数据 库 文件 中 保存 着 虚拟 账号 和 密码 信息 ,为 了 防止 非法 用 户 盗 取 ,可 以 修改 该 文件 的 
访问 权限 。 


chmod 700 /vftp/vuser.do 
(4) 配置 PAM 文件 。 
为 了 使 服务 器 能 够 使 用 数据 库 文 件 , 对 客户 端 进行 身份 验证 ,需要 调用 系统 的 PAM 模 


块 。PAM 模块 配置 文件 路 径 为 /etc/pam. d, 该 目录 下 保存 着 大 量 与 认证 有 关 的 配置 文件 ， 
并 以 服务 器 名 称 命名 。 修 改 PAM 配置 文件 如 下 : 


#%PAM- 1.0 

#session optional pam keyinit.so force revoke 
#auth required pam listfile.so item- user sense- deny 
file- /etc/vsftpd/ftpusers onerr- sucoeed 

#auth required pam shells.so 

#auth include system- auth 


#accant include system- auth 

#session include system- auth 

# Session required pam loginuid.so 

auth required /lib/security/pam userdb.so d> /vftp/vuser 
account required /lib/security/pam userdb.so do- /vftp/vuser 


(5) 创建 虚拟 账户 对 应 系统 用 户 。 


useradd -d  /var/ftp/vuser vuser 
mkdir /var/ftp/vuser 

chomn vuser.vuser /var/ftp/vuser 
chmod ot rw /var/ftp/vuser 


当 用 户 以 /vftp/vuser. txt 中 定义 的 用 户 名 和 密码 登录 时 会 映射 成 账户 vuser, 所 以 这 
儿 首 先 添加 一 个 虚拟 用 户 vuser, 指 定 其 家 用 目录 为 /vat/ftp/yvuser, 匿 名 用 户 登 录 时 会 映射 
成 为 系统 用 户 , 所 以 对 /var/ftp/vuser 没有 访问 权限 ,所 以 这 里 chmod 命令 设置 其 他 用 户 权 
限 为 读 和 执行 权限 。 

(6) 修改 vsftpd. conf。 

PAM 模块 配置 文件 ,以 及 虚拟 账号 均 准备 完毕 ,下 面 需要 配置 vsftpd. conf, 更 改 服务 
器 配置 文件 如 下 : 


anonymous enable- NO 

anon upload enable- NO 

anon mkdir write enable- NO 

anon other write enable- NO 

# 为 了 保证 服务 器 安全 ,关闭 匿名 访问 以 及 其 他 匿名 相关 设置 
local enable- YES 
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# 虚 拟 账号 会 映射 成 为 服务 器 的 系统 账号 ,所 以 需要 开启 本 地 账号 支持 

chroot local user- YES 

# 锁 定 账 户 的 根 目录 

write _ enable=ND 

# 关 闭 用 户 的 写 权 限 

guest enable- YES 

# 开 局 虚拟 账号 的 访问 功能 

guest username- vuser 

# 设 置 虚拟 账号 对 应 的 系统 账号 为 vuser 

listen- YES 

# 设 置 FIP 服务器 为 独立 运行 

pam service name- vsftpd 

# 配 置 vsftp 使 用 的 PM 模块 为 vsftpa 

2) 启用 SSL 功能 

VSFTPD-2. 0. 1 以 后 的 版 本 里 提供 了 对 SSL 套 接 层 的 支持 ,这 使 得 vsftpd 变 的 更 加 安 
全 了 。 要 实现 FTP 的 安全 连接 有 几 个 必须 的 前 提 是 OPENSSL 版 本 必须 大 于 0. 9. 6, 可 以 
用 openssl 加 密 你 的 vsftpd 服务 器 登录 及 传输 过 程 , 如 果 是 2. 0. 1 以 前 的 版 本 需要 下 载 
vsftp 源码 包 ,修改 文件 builddefs. h 中 的 : 

#undef VSF BUILD TCEWRAPPERS 

#aefine VSF BUILD PMM 

#undef VSF BUILD SSL 


#define VSF BUILD TCPWRAPPERS 

#undef VSF BUILD PAM 

ddefine VSF BUILD SSL 

然后 重新 编译 安装 即 可 。 

为 vsftpd 启用 SSL 功能 具体 步骤 如 下 s 
(1) 生成 服务 器 数字 证 书 和 私 钥 。 


openssl req - new - newkey rsa:1024 - days 365 - nodes - x509 - keyout server.key - out server.crt 


其 中 生成 的 证 书 为 server. crt, 私 钥 是 server. key. 
(2) 将 证 书 和 私 钥 复 制 到 /etc/vsftpd/server. pem 文件 中 。 


cat server.key> /etc/vsftpd/server.pem 
cat server.crt> > /etc/vsftpd/server.pem 


(3) 修改 vsftp 配置 文件 /etc/vsftpd/vsftpd. conf;, 添 加 以 下 代码 。 


tcp wrappers- YES 

ssl enable- YES 

force local data ssl- YES 
force local logins ssl- YES 
ssl tlsvi- YES 
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ssl sslv2-NO 
ssl sslv3- YES 
rsa cert file /etc/vsftpd/server.pem 


(4) 重启 vsftpd 服务 器 。 
Service vsftpd restart 


(5) 客户 端 设置 。 
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由 于 UNIX 的 FTP 客户 端 到 目前 为 止 不 能 很 好 的 支持 SSL, 这 里 客户 端 选用 
FlashFXP3. 4.5, 打 开 FlashFXP 主 程序 后 ,选择 会话” 一 “快速 连接 ”选项 ,弹出 如 图 6-67 
所 示 的 对 话 框 ,输入 上 文 设 定 的 虚拟 用 户 的 用 户 名 may 和 密码 123。 


Ir P [CDocnents and Settines\Adninistrator\ly Documents 司 


192. 166. 18.88 


: [may 


大 小 ”修改 日 期 


m) (x) | 


jm | 
| 口 匿名 o 


图 6-67 FlashFXP 连接 设置 


设置 好 用 户 名 密码 后 ,选择 SSL 选项 ,选择 “验证 (Auth)SSL” 单 选 按 钮 ,如 图 6-68 


所 示 。 


单 击 “ 连 接 ” 按 钮 ,出 现 如 图 6-69 所 示 提 示 ,说 明 连 接 成 功 。 


[an [Wa [st mu | 
安全 套 接 字 层 

Ot Gt ssp 

OBE Unplicit) SSL 

数据 连接 选项 

[7] 安全 文件 列表 

Iz 安全 文件 传输 (上 传 /下 载 ) 
口 安全 “站 点 -> 站 点 ”传输 (不 是 所 有 服务 器 都 支持 ) 


ORE ath) SE 
OWE Auth) TLS 


[] AE HEUS fend eiiis ar 


EC) 


图 6-68 SSL 选项 卡 


182 168 18.88 


[R] 200 PROT now Private. 


Passive Mode (192, 188, 18,88, T0, 1) 
E IP: 192.168.18.88 端口: 17921 


。 正 在 与 SSL 进行 会 话 
[R] ISO Mere comes the directory listing. 


密 的 会 话 使 用 密 钥 DES-CBC3-SHA (168 位 ) 
[R] 228 Directory send OK 
[R] 列表 完成 : 315 FP 新 时 0.11 ^ .8 w) 


图 6-69 FlashFXP 的 连接 信息 窗口 


FTP 的 安全 设置 ,除了 以 上 设置 外 ,还 可 以 用 BlockHosts 软件 防范 暴力 破解 ,启用 
tcp_wrappers 进 行 访问 控制 等 ,由 于 篇 幅 有 限 , 这 里 不 做 详细 介绍 。 
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L 如 何 设置 口令 以 避免 其 沦 为 弱 口 令 ? 
2. 什么 是 安全 漏洞 ? 如 何 正 确 理解 安全 漏洞 ? 
3. 访问 控制 和 隔离 控制 有 什么 区 别 ? 
4. 根据 Windows 2003 的 安全 机 制 ,举例 列 出 Windows 2003 的 基本 安全 机 制 。 
5. 列举 一 个 本 章 中 未 说 明 的 Windows 操作 系统 的 安全 漏洞 ,并 对 它 进行 分 析 ,说明 它 
有 何 危 害 ? 
6. 安全 机 制 和 安全 策略 的 概念 有 何 区 别 ? 
7. 网 络 操作 系统 的 基本 安全 策略 有 哪些 ? 
8. 如 何 对 UNIX 操作 系统 设置 安全 防护 ? 
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第 7 章 防火墙 技术 


防火 墙 是 在 网 络 安全 防范 中 使 用 最 多 的 技术 ,已 成 为 企业 网 络 中 实施 安全 保护 的 核心 ， 
企业 安全 管理 员 利用 防火 墙 实 现 相关 的 安全 规则 ,来 保护 企业 内 部 的 网 络 设备 和 信息 ,目前 
为 止 ,这 是 最 有 效 的 网 络 和 设备 保护 措施 。 本 章 主要 介绍 了 防火 墙 的 功能 与 分 类 、 防 火 墙 的 
主要 技术 、 防 火 墙 体系 结构 、 防 火 墙 配置 .防火墙 的 选 型 .主流 防火 墙 产品 简介 、 防 火 墙 发 展 
动态 与 趋势 .防火墙 部 署 实例 。 


7.1 防火 墙 基础 


7.1.1 防火 墙 的 定义 


防火 墙 是 隔离 本 地 网 络 与 外 界 网 络 的 防御 系统 。 防 火 墙 技术 是 保护 网 络 不 受 侵犯 的 最 
主要 技术 之 一 。 防 火 墙 一 般 位 于 网 络 的 边界 上 ,按照 一 定 的 安全 策略 ,对 两 个 或 多 个 网 络 之 
间 的 数据 包 和 连接 方式 进行 检查 ,来 决定 对 网 络 之 间 的 通信 采取 何 种 动作 ,如 允许 ,拒绝 或 
转换 。 其 中 被 保护 的 网 络 通常 称 为 内 部 网 络 ,其 他 称 为 外 部 网 络 。 使 用 防火 墙 ,可 以 有 效 地 
控制 内 部 网 络 和 外 部 网 络 之 间 的 访问 和 数据 传输 ,防止 外 部 网 络 用 户 以 非法 手段 通过 外 部 
网 络 进入 内 部 网 络 访问 内 部 网 络 资源 ,并 过 滤 不 良 信息 。 安 全 ,管理 和 效率 ,是 对 防火 墙 功 
能 的 主要 要 求 。 在 逻辑 上 ,防火 墙 是 一 个 分 离 器 ,一 个 限制 器 ,也 是 一 个 分 析 器 ,有 效 地 监控 
了 内 部 网 和 Internet 之 间 的 任何 活动 ,保证 了 内 部 网 络 的 安全 。 以 此 来 实现 网 络 的 安全 
保护 。 


7.1.2. 防火 墙 的 特点 


典型 的 防火 墙 具 有 以 下 三 个 方面 的 基本 特征 : 

(1) 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数 据 流 都 必须 经 过 防火 墙 。 根 据 美国 国家 
安全 局 制定 的 《信息 保障 技术 框架 》, 防 火 墙 适 用 于 用 户 网 络 系统 的 边界 ,属于 用 户 网 络 
边界 的 安全 保护 设备 。 建 立 防火 墙 的 目的 就 是 在 网 络 连接 之 间 建 立 一 个 安全 控制 点 , 通 
过 允许 ,拒绝 或 重新 定向 经 过 防火 墙 的 数据 流 , 实 现 对 进 、 出 内 部 网 络 的 服务 和 访问 的 审 
计 和 控制 。 

(2) 只 有 符合 安全 策略 的 数据 流 才 能 通过 防火 墙 。 

(3) 防火 墙 自身 应 具有 非常 强 的 抗 攻 击 免疫 力 。 

防火 墙 处 于 网 络 边 缘 , 每 时 每 刻 都 要 面 对 黑客 的 入 侵 ,这 就 要 求 防火 墙 自 身 要 具有 非常 
强 的 抗 人 侵 能 力 。 防 火 墙 最 基本 的 功能 是 确保 网 络 流 量 的 合法 性 ,并 在 此 前 提 下 将 网 络 的 
流量 快速 的 从 一 条 链 路 转发 到 另外 的 链 路 上 去 。 防 火 墙 将 网 络 上 的 流量 通过 相应 的 网 络 接 
口 接收 上 来 ,在 适当 的 协议 层 进行 访问 规则 和 安全 审查 ,然后 将 符合 通过 条 件 的 报 文 从 相应 
的 网 络 接口 送出 ,而 对 于 那些 不 符合 通过 条 件 的 报 文 则 予以 阻 断 。 
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7.2 防火 墙 的 功能 与 分 类 


7.2.1 防火 墙 的 功能 


防火 墙 主 要 有 以 下 功能 。 

1. 网 络 安全 的 屏障 

防火 墙 可 通过 过 滤 不 安全 的 服务 而 减低 风险 , 极 大 地 提高 内 部 网 络 的 安全 性 。 由 于 只 
有 经 过 选择 并 授权 允许 的 应 用 协议 才能 通过 防火 墙 ,所 以 网 络 环境 变 得 更 安全 。 防 火 墙 可 
以 禁止 诸如 不 安全 的 NES 协议 进出 受 保护 的 网 络 ,使 攻击 者 不 可 能 利用 这 些 脆弱 的 协议 来 
攻击 内 部 网 络 。 防 火 墙 同时 可 以 保护 网 络 免 受 基于 路 由 的 攻击 ,如 TP 选项 中 的 源 路 由 攻击 
和 ICMP 重 定向 路 径 。 防 火 墙 能 够 拒绝 所 有 以 上 类 型 攻击 的 报 文 ,并 将 情况 及 时 通知 防火 
墙 管 理 员 。 

2. 强化 网 络 安全 策略 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 。 能 将 所 有 安全 软件 (如 口令 加密、 身份 认证 等 ) 
配置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ,防火 墙 的 集中 安全 管理 更 经 
济 。 例 如 ,在 网 络 访问 时 ,一 次 一 密 口 令 系 统 和 其 他 的 身份 认证 系统 完全 可 以 不 必 分 散在 各 
个 主机 上 而 集中 在 防火 墙 。 

3. 对 网 络 存 取 和 访问 进行 监控 审计 

由 于 所 有 的 访问 都 必须 经 过 防火 墙 ,所 以 防火 墙 就 不 仅 能 够 制作 完整 的 日 志 记 录 , 而 且 
还 能 够 提供 网 络 使 用 的 情况 的 统计 数据 。 当 发 生 可 疑 动 作 时 ,防火 墙 能 进行 适当 的 报警 ,并 
提供 网 络 是 否 受 到 监测 和 攻击 的 详细 信息 。 另 外 ,收集 一 个 网 络 的 使 用 和 误 用 情况 也 是 一 
项 非常 重要 的 工作 。 这 不 仅 有 助 于 了 解 防 火 墙 的 控制 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ， 
了 解 防火 墙 的 控制 是 否 充 分 有 效 ,而且 有 助 于 作出 网 络 需 求 分 析 和 威胁 分 析 。 

4. 防止 内 部 信息 的 外 泄 

通过 利用 防火 墙 对 内 部 网 络 的 划分 ,可 实现 内 部 网 中 重点 网 段 的 隔离 ,限制 内 部 网 络 中 
不 同 部 门 之 间 互 相 访问 ,从 而 保障 了 网 络 内 部 敏感 数据 的 安全 。 另 外 ,隐私 是 内 部 网 络 非常 
关心 的 问题 ,一 个 内 部 网 络 中 不 引 人 注 意 的 细节 ,可 能 包含 了 有 关 安 全 的 线索 而 引起 外 部 攻 
击 者 的 兴趣 ,甚至 由 此 而 暴露 了 内 部 网 络 的 某 些 安全 漏洞 。 使 用 防火 墙 就 可 以 隐藏 那些 透 
露 内 部 细节 的 服务 ,如 Finger, DNS 等 。Finger 显示 了 主机 的 所 有 用 户 的 用 户 名 、 真 名 、 最 
后 登录 时 间 和 使 用 Shell 类 型 等 。 但 是 Finger 显示 的 信息 非常 容易 被 攻击 者 所 获悉 。 攻 击 
者 可 以 知道 一 个 系统 使 用 的 频繁 程度 ,这 个 系统 是 否 有 用 户 在 连 线 上 网 ,这 个 系统 是 否 在 被 
攻击 时 引起 注意 等 。 防 火 墙 可 以 同样 阻塞 有 关内 部 网 络 的 DNS 信息 ,这样 一 台 主机 的 域名 
和 IP 地 址 就 不 会 被 外 界 所 了 解 。 


7.2.2 防火 墙 的 分 类 


现 有 的 防火 墙 主要 有 : 包 过 滤 型 .应 用 级 网 关 型 .复合 型 以 及 其 他 类 型 防火 墙 。 
包 过 滤 通 常安 装 在 路 由 器 上 ,而 且 大 多 数 商 用 路 由 器 都 提供 了 包 过 滤 的 功能 。 包 过 滤 
规则 以 TP. 包 信息 为 基础 ,对 TP 源 地 址 、 目 标 地 址 、 封 装 协议 .端口 号 等 进行 筛选 。 包 过 滤 在 
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网 络 层 进行 。 
应 用 级 网 关 型 防火 墙 通常 由 两 部 分 构成 ,服务 器 端 程序 和 客户 端 程序 。 客 户 端 程序 与 
中 间 节 点 Proxy Server 连接 ,中 间 节 点 再 与 提供 服务 的 服务 器 实际 连接 。 与 包 过 滤 防 火 墙 
不 同 的 是 ,内 外 网 间 不 存在 直接 的 连接 ,而 且 代 理 服 务 器 提供 日 志 (Log) 和 审计 服务 。 
复合 型 包 过 滤 和 应 用 级 网 关 两 种 方法 结合 起 来 ,形成 新 的 防火 墙 , 由 堡垒 主机 提供 代理 
服务 。 


7.3 ”防火墙 的 主要 技术 


7.3.1 包 过 滤 技 术 


包 过 滤 防 火 墙 是 具有 很 强 报 文 过 滤 能 力 的 系统 ,可 以 是 商用 路 由 器 ,也 可 以 是 基于 PC 
的 网 关 。 包 过 滤 防 火 墙 通常 处 于 网 络 层 ,通常 基于 一 定 的 规则 完成 数据 包 的 匹配 和 过 滤 , 规 
则 内 容 包括 源 / 目 标 地 址 、 源 目标 端口 号 .协议 和 标志 位 等 。 包 过 滤 防 火 墙 的 关键 在 于 过 滤 
规则 的 设计 。 它 的 优点 在 于 实现 方式 简单 .灵活 ,对 内 部 网 络 用 户 和 应 用 程序 完全 透明 ,性 
能 开销 小 ,处 理 速度 较 快 。 但 缺点 也 很 明显 ,其 定义 复杂 ,容易 出 现 因 配置 不 当 带 来 问题 ,多 
许 数据 包 直 接 通过 ,容易 造成 数据 驱动 式 攻击 的 潜在 危险 。 而 且 由 于 工作 信息 不 完全 ,无 法 
有 效 地 区 分 同一 IP 地 址 上 的 不 同 用 户 . 它 的 安全 性 相对 较 低 。 它 对 欺骗 性 攻击 很 脆弱 ,一 
旦 被 攻破 ,无 法 查找 攻击 来 源 。 当 采用 严格 过 滤 标 准时 ,会 降低 网 络 传 输 性 能 。 

包 过 滤 防 火 墙 工 作 在 网 络 层 ,一般 是 具有 多 个 端口 的 路 由 器 (屏蔽 路 由 器 ) , 它 对 每 个 进 
入 的 IP 数据 包 应 用 一 组 规则 集合 来 判断 该 数据 包 是 否 应 该 转发 。 数 据 包 过 滤 技 术 以 数据 
包头 为 基础 ,按照 路 由 器 配置 中 的 一 组 规则 将 数据 包 分 类 ,然后 在 网 络 层 对 数据 包 进 行 选 
择 , 选 择 的 依据 是 系统 内 设置 的 过 滤 逻 辑 ( 称 为 访问 控制 列表 )。 访 问 控制 列表 (ACL) 制 定 
某 种 类 型 的 数据 包 应 被 转发 还 是 被 丢弃 。 

1. 数据 包 过 滤 

数据 包 过 滤 是 针对 数据 包 的 包头 信息 来 进行 的 ,每 个 数据 包 内 都 有 包含 特定 信息 的 一 
组 包头 ,其 主要 信息 有 : 

* IP 源 地 址 ; 

* IP 目标 地 址 ; 
封装 的 协议 类 型 (TCP, UDP ICMP 等 ); 

。 TCP 或 UDP 源 端 口 ; 

* TCP 或 UDP 目标 端口 ; 

。 ICMP 消息 类 型 。 

在 数据 包 过 滤 技 术 中 ,过 滤 匹 配 的 原则 除 上 述 包 头 信息 外 ,还 可 以 根据 TCP 序列 号 、 
TCP 连接 的 握手 序列 (如 SYN、ACK ) 的 逻辑 分 析 来 进行 判断 ,较为 有 效 地 抵御 类 似 IP 
Spoofing、SYN Spoofing 等 类 型 的 攻击 。 具 体 来 说 ,路 由 器 审查 每 个 数据 包 以 便 确定 其 是 
否 与 某 包 过 滤 规 则 匹配 。 过 滤 规 则 基于 可 以 提供 给 IP 转发 过 程 的 包头 信息 。 包 的 输入 接 
口 和 输出 接口 如 果 匹 配 并 且 规 则 允许 该 数据 包 通 过 ,那么 该 数据 包 就 会 按照 路 由 表 的 信息 
被 转发 。 如 果 匹 配 并 且 规 则 拒绝 该 数据 包 , 那 么 该 数据 包 就 会 被 丢弃 。 如 果 没 有 匹配 原则 ， 
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用 户 配 置 的 默认 参数 就 会 决定 是 转发 还 是 丢弃 数据 包 。 这 种 类 型 的 防火 墙根 据 定义 好 的 过 
滤 规 则 审查 每 个 数据 包 , 以便 确定 其 是 否 与 某 一 条 包 过 滤 规 则 匹配 。 包 过 滤 类 型 的 防火 墙 
要 遵循 的 一 条 基本 原则 是 “最 小 特权 原则 ”, 即 明确 允许 那些 管理 员 希 望 通过 的 数据 包 , 禁 止 
其 他 的 数据 包 。 

2. 过 滤 规 则 设计 

为 完成 数据 包 过 滤 , 需 设 计 一 套 过 滤 规 则 以 规定 什么 类 型 的 数据 包 被 转发 或 被 丢弃 。 
设计 过 滤 规 则 的 时 候 , 我 们 应 注意 以 下 三 个 概念 : 

(1) 全 连接 (full association) :描述 了 一 个 TCP 连接 的 完整 信息 , 它 可 由 一 个 五 元 组 来 
定义 (协议 类 型 . 源 IP 地 址 \ 源 TCP/UDP 端口 .目的 IP deht, H ff TCP/UDP 端口 ) 。 

(2) 半 连 接 (half association) :描述 了 连接 的 一 端的 信息 , 它 由 一 个 三 元 组 来 定义 (协议 
类 型 .IP 地 址 、TCP/UDP 端口 ) 。 

(3) 端点 (endpoints): 也 称 为 传输 地 址 , 它 可 由 一 个 两 元 组 来 定义 ( 源 IP 地 址 、 源 
TCP/UDP 端口 ) 。 

通过 以 上 三 个 定义 不 难看 出 ,过 滤 规 则 的 设计 主要 依赖 于 数据 包 所 提供 的 包头 信息 。 
根据 包头 信息 ,我 们 可 按 IP 地 址 过 滤 ,可 以 按 封 装 的 协议 类 型 过 滤 ,也 可 以 按 端口 号 过 滤 甚 
至 可 以 按 SYN/ACK 信号 来 进行 过 滤 。 当 然 , 也 可 以 将 上 述 几 种 方式 组 合 起 来 制定 过 滤 
规则 。 

数据 包 过 滤 规 则 具体 体现 在 访问 控制 列表 (ACL) 的 内 容 上 。 访 问 控制 列表 (ACL) 定 
义 了 各 种 规则 来 表明 是 否 同 意 或 拒绝 包 的 通过 。 

3. 包 过 滤 防 火 墙 的 特点 

包 过 滤 路 由 器 分 组 过 滤 简 单方 便 , 对 用 户 透明 ,不 需要 用 户 认 证 ,易于 安装 管理 ,由 于 工 
作 在 IP 层 和 TCP/UDP 层 , 且 不 必 对 所 有 信息 进行 审计 和 跟踪 ,因此 速度 快 。 但 正 因 为 其 
没有 日 志和 审计 功能 ,因此 有 很 多 信息 不 能 提供 ,使 得 管理 员 不 易 对 事件 进行 跟踪 检查 ,有 
可 能 受到 欺骗 性 攻击 。 


7.3.2. 应 用 级 网 关 防 火 墙 


应 用 级 网 关 防 火 墙 主 要 工作 在 应 用 层 , 应 用 代理 服务 技术 能 将 所 有 跨越 防火 墙 的 网 络 
通信 和 链 路 分 为 两 段 , 使 得 网 络 内 部 的 客户 不 直接 与 外 部 的 服务 器 通信 。 它 的 基本 工作 过 程 
是 : 当 客 户 机 需要 使 用 服务 器 上 的 数据 时 ,首先 将 数据 请 求 发 给 代理 服务 器 ,代理 服务 器 根 
据 这 一 请 求 向 服务 器 索取 数据 ,再 由 代理 服务 器 将 数据 传 给 客户 机 。 由 于 外 部 计算 机 的 网 
络 链 路 只 能 到 达 代理 服务 器 ,从 而 起 到 隔离 防火 墙 内 外 计算 机 系统 的 作用 。 

常用 的 应 用 级 防火 墙 已 有 了 相应 的 代理 服务 器 ,如 HTTP、FTP、Telnet、X-Windows 
等 ,但 对 于 新 开发 的 应 用 , 尚 没有 相应 的 代理 服务 器 ,它们 只 有 应 用 网 络 级 防火 墙 和 一 般 的 
代理 服务 (如 sock 代理 ) 。 

应 用 级 网 关 防 火 墙 有 较 好 的 访问 控制 ,是 目前 最 安全 的 防火 墙 技术 ,其 缺点 是 执行 速度 
慢 , 操 作 系 统 容易 受到 攻击 ,而 且 有 的 防火 墙 需要 在 一 定 范围 内 定制 用 户 的 系统 ,这 取决 于 
所 使 用 的 应 用 程序 ,而 一 些 应 用 程序 可 能 根本 不 支持 代理 连接 。 

1. 第 一 代 : 代 理 防火 墙 

代理 防火 墙 也 叫 应 用 层 网 关 (application gateway) 防 火 墙 。 这 种 防火 墙 通过 一 种 代理 
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(proxy) 技 术 参 与 到 一 个 TCP 连接 的 全 过 程 。 从 内 部 发 出 的 数据 包 经 过 这 样 的 防火 墙 处 理 
后 ,就 好 像 是 源 于 防火 墙 外 部 网 卡 一 样 , 从 而 达到 隐藏 内 部 网 结构 的 作用 。 这 种 类 型 的 防火 
墙 被 网 络 安全 专家 和 媒体 公认 为 是 最 安全 的 防火 墙 。 它 的 核心 技术 就 是 代理 服务 器 技术 。 

代理 服务 器 是 指 代表 客户 处 理 在 服务 器 连接 请 求 的 程序 。 当 代理 服务 器 得 到 一 个 客户 
的 连接 意图 时 ,它们 将 核实 客户 请 求 , 并 经 过 特定 的 安全 化 的 代理 应 用 程序 处 理 连 接 请 求 ， 
将 处 理 后 的 请 求 传递 到 真实 的 服务 器 上 ,然后 接受 服务 器 应 答 ,并 做 进一步 处 理 后 ,将 答复 
交 给 发 出 请 求 的 最 终 客 户 。 代 理 服务 器 在 外 部 网 络 向 内 部 网 络 申请 服务 时 发 挥 了 中 间 转 接 
的 作用 。 

代理 类 型 防火 墙 的 最 突出 的 优点 就 是 安全 。 由 于 每 一 个 内 外 网 络 之 间 的 连接 都 要 通过 
代理 的 介入 和 转换 ,通过 专门 为 特定 的 服务 如 HTTP 编写 的 安全 化 的 应 用 程序 进行 处 理 ， 
然后 由 防火 墙 本 身 提交 请 求 和 应 答 ,没有 给 内 部 网 络 的 计算 机 以 任何 直接 会 话 的 机 会 ,从 而 
避免 了 入 侵 者 使 用 数据 驱动 类 型 的 攻击 方式 人 侵 内 部 网 。 包 过 滤 类 型 的 防火 墙 是 很 难 彻底 
避免 这 一 漏洞 的 。 

代理 防火 墙 的 最 大 缺点 就 是 速度 相对 比较 慢 , 当 用 户 对 内 部 网 络 网 关 的 吞吐 量 要 求 比 
较 高 时 ,( 如 要 求 达 到 75— 100Mbps 时 ) 代 理 防 火 墙 就 会 成 为 内 外 网 络 之 间 的 瓶颈 。 所 幸 的 
是 ,目前 用 户 接 入 Internet 的 速度 一 般 都 远 低 于 这 个 数字 。 在 现实 环境 中 ,要 考虑 使 用 包 过 
滤 类 型 防火 墙 来 满足 速度 要 求 的 情况 ,大 部 分 是 高 速 网 (ATM 或 千 兆 位 以 太 网 等 ) 之 间 的 
防火 墙 。 

2. 第 二 代 : 自 适应 代理 防火 墙 

自 适应 代理 技术 (adaptive proxy) 是 最 近 在 商业 应 用 防火 墙 中 实现 的 一 种 革命 性 的 技 
术 。 它 可 以 结合 代理 类 型 防火 墙 的 安全 性 和 包 过 滤 防 火 墙 的 高 速度 等 优点 ,在 毫 不 损失 安 
全 性 的 基础 之 上 将 代理 型 防火 墙 的 性 能 提高 10 倍 以 上 。 组 成 这 种 类 型 防火 墙 的 基本 要 素 
有 两 个 : 自 适 应 代理 服务 器 (adaptive proxy server) 5j 2/] 25 4 xt Wë $$ (dynamic packet 
filter) 。 

在 自 适 应 代理 与 动态 包 过 滤器 之 间 存 在 一 个 控制 通道 。 在 对 防火 墙 进行 配置 时 ,用 户 
仅仅 将 所 需要 的 服务 类 型 .安全 级 别 等 信息 通过 相应 代理 的 管理 界面 进行 设置 就 可 以 了 。 
然后 , 自 适应 代理 就 可 以 根据 用 户 的 配置 信息 ,决定 是 使 用 代理 服务 从 应 用 层 代理 请 求 还 是 
从 网 络 层 转发 包 。 如 果 是 后 者 , 它 将 动态 地 通知 包 过 滤器 增 减 过 滤 规 则 ,满足 用 户 对 速度 和 
安全 性 的 双重 要 求 。 


7.3.3 深度 包 过 滤 技 术 


深度 包 过 滤 将 入 侵 检测 系统 和 IPS 整合 起 来 ,不 仅 过 滤 网 络 层 和 传输 数据 包头 部 ,而 且 
在 应 用 层 深 入 到 服务 器 的 数据 包 的 有 效 载荷 的 内 容 部 分 ,搜寻 合法 或 者 非法 的 内 容 以 决定 
是 否 允 许 数据 包 通 过 ,或 者 查找 常见 的 攻击 ,并 丢弃 与 之 相关 的 会 话 。 

深度 包 过 滤 深 入 检查 数据 包 或 者 数据 流 的 应 用 程序 流量 ,根据 数据 包 的 有 效 载荷 来 作 
出 某 种 决定 。 主 要 用 来 确认 数据 流 的 影响 力 ,通常 典 型 的 深度 包 过 滤 是 指 包含 试 探 性 数据 
分 析 的 特征 匹配 技术 。 虽 然 深 度 包 过 滤 技 术 的 思想 比较 简单 ,但 是 它 实 现 起 来 却 比较 困难 。 
深度 包 过 滤 技 术 除了 使 用 以 特征 为 基础 的 分 析 技 术 ,还 要 用 到 统计 和 非 正常 分 析 技术 ,但 所 
用 的 这 两 项 技术 都 是 直接 地 从 和 人 侵 检测 技术 借用 过 来 的 。 
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深度 包 过 滤 技 术 是 当前 包 过 滤 技 术 发 展 的 一 个 方向 。 它 对 数据 包 的 分 析 深 入 到 内 容 ， 
充分 理解 各 种 应 用 协议 的 流程 以 及 脆弱 性 所 在 ,以 做 出 针对 性 的 检测 和 保护 。 深 度 包 过 滤 
可 以 把 多 个 相关 数据 报关 联 到 一 个 数据 流 当 中 ,在 寻找 攻击 异常 行为 的 同时 ,保持 整个 数据 
流 的 状态 。 深 度 包 过 滤 要 求 以 极 高 的 速度 分 析 、 检 测 及 重新 组 装 应 用 流量 ,以 避免 给 应 用 带 
来 延 时 。 

虽然 是 以 包 过 滤 的 形式 完成 对 数据 包 的 检测 ,但 深度 包 过 滤 还 是 不 同 于 传统 包 过 滤 。 

1. 主要 优势 

深度 包 过 滤 技 术 的 主要 优势 体现 在 以 下 几 方 面 : 

(1) 理解 更 深层 次 的 协议 。 包 过 滤 只 是 对 数据 包头 进行 分 析 来 决定 对 包 的 处 理 。 例 
如 ,分 析 IP 报头 的 源 IP、 源 端口 .目的 IP、 目 的 端口 .传输 层 协议 等 ,符合 规则 的 通过 ,不 符 
合 的 丢弃 并 记录 。 而 深度 包 过 滤 不 同 ,不 但 可 以 对 数据 包 进 行 网 络 层 的 解析 ,还 要 对 数据 包 
进行 基于 应 用 层 协 议 的 解析 ,清楚 地 知道 每 个 数据 包 在 各 个 数据 位 上 的 含义 。 也 正 是 因为 
这 点 ,拥有 深度 包 过 滤 的 防火 墙 可 以 实现 许多 传统 防火 墙 无 法 实现 的 功能 。 

(2) 漏 检 率 更 低 。 包 过 滤 只 是 对 一 个 个 独立 的 数据 包 进 行 分 析 过 滤 ,这 种 只 看 部 分 不 
识 整 体 的 做 法 难免 漏 检 。 即 使 结合 状态 检测 也 可 能 存在 漏 检 , 因 为 现在 的 状态 检测 只 是 网 
络 层 保护 。 而 包含 深度 包 过 滤 功 能 的 网 络 安全 产品 才 是 真正 的 面向 应 用 的 , 它 可 以 真正 实 
现 基 于 状态 的 数据 包 内 容 深度 过 滤 ,可 以 提供 二 至 七 层 全 面 而 完整 的 访问 控制 与 防护 。 

G) 更 强 的 防御 能 力 。 传 统 包 过 滤 技 术 进 行 的 所 谓 应 用 层 过 滤 实 际 上 只 是 通过 代理 技 
术 实 现 如 URL 过 滤 等 功能 ,而 且 无 法 把 单个 数据 包 重 组 ,如 果 包 含 URL 字 节 数据 流 过 长 
在 单个 包 内 就 无 法 发 现 , 无 法 满足 全 层次 检测 的 要 求 。 深 度 包 过 滤 在 包 过 滤 的 基础 上 执行 
了 “数据 重组 ”和 “入 侵 过 滤 ” 有 效 地 将 应 用 层 攻击 拒 之 门 外 。 

2. 深度 包 过 滤 的 主要 功能 

深度 包 过 滤 主 要 有 数据 包 内 容 分 析 和 管理 应 用 程序 两 方面 的 功能 。 

(1) 数据 包 内 容 分 析 。 深 度 包 过 滤 技 术 对 数据 包头 或 有 效 载荷 所 封装 的 内 容 进行 分 
析 , 从 而 引导 、 过 滤 和 记录 基于 IP 的 应 用 程序 和 Web 服务 通信 流量 ,其 工作 并 不 受 协议 种 
类 和 应 用 程序 类 型 的 限制 。 采 用 深度 包 过 滤 技 术 ,企业 网 络 可 以 获得 性 能 上 的 大 幅度 提升 
而 无 需 购 买 昂贵 的 服务 器 或 是 其 他 安全 产品 。 

深度 包 过 滤 技 术 使 应 用 程序 通信 管理 设备 能 够 深入 分 析 TCP 或 UDP 通信 流量 的 内 
容 。 当 IP 数据 包 、TCP 数据 流 或 UDP 包 经 过 管理 设备 时 ,将 其 重新 组 合 , 从 而 得 到 整个 应 
用 程序 的 内 容 ,然后 按照 企业 定义 的 策略 对 应 用 程序 进行 操作 。 在 标准 的 TCP/IP 网 络 中 ， 
信息 被 分 割 成 小 的 数据 包 , 以 便 能 够 快速 地 通过 网 络 。 应 用 程序 管理 设备 或 是 负载 均衡 设 
备 在 这 些小 数据 包 的 传送 途中 截获 它们 ,然后 将 甚 重新 组 装 为 原始 的 数据 ,并 将 这 些 数据 缓 
存 。 通 过 扮演 特定 应 用 程序 数据 代理 的 角色 ,通信 管理 设备 继续 获取 相关 信息 ,更 多 的 内 容 
被 检测 到 ,同时 寻找 已 经 定义 的 变量 ,根据 这 些 变量 决定 采取 的 动作 。 用 户 可 以 使 用 一 定 的 
规则 或 策略 来 定义 这 些 变量 ,使 这 些 策略 基于 应 用 程序 的 类 型 或 者 数据 源 和 最 终 目标 。 

一 旦 通信 管理 设备 定位 了 有 效 载 荷 的 信息 , 它 就 会 向 能 够 最 好 处 理 客 户 请 求 的 应 用 程 
序 或 资源 发 送 数据 。 深 度 包 过 滤 同 样 可 以 应 用 于 检测 应 用 程序 或 服务 中 的 变量 的 正确 性 。 
如 果 这 些 变 量 不 存在 .那么 请 求 就 会 被 丢弃 ,同时 将 事件 记录 到 日 志文 件 并 向 管理 员 发 送 
警报 。 
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(2) 管理 应 用 程序 。 巾 于 深度 包 过 滤 可 以 过 滤 数 据 包 中 的 任何 内 容 , 所 以 可 被 用 来 管 
理 任 意 类 型 的 基于 IP 的 应 用 程序 ,包括 如 CRM 这 样 的 企业 级 应 用 程序 .数据 库 系 统 、 移 动 
和 无 线 应 用 程序 等 。 在 大 型 企业 中 , 带 有 深度 包 过 滤 的 通信 管理 设备 可 被 用 来 过 滤 和 区 分 
对 数据 库 的 读 请 求 和 写 请 求 。 企 业 可 以 购买 较 便宜 的 服务 器 来 处 理 读 请 求 产 生 的 通信 业务 
流量 。 

深度 包 过 滤 技 术 提 供 对 所 有 TP 通信 业务 的 详尽 控制 ,使 得 网 络 业务 处 理 在 获得 更 高 效 
率 的 同时 ,能 够 满足 复杂 的 安全 策略 和 高 可 用 性 的 要 求 。 

3. 深度 包 过 滤 的 步骤 策略 

将 流 经 的 数据 包 进 行 必要 的 分 类 ,针对 不 同 的 数据 包 , 设 置 不 同 的 过 滤 策 略 , 对 所 有 包 
有 步骤 地 进行 过 滤 ,只 有 那些 经 过 上 一 个 步骤 检查 合格 的 数据 包 , 才 有 可 能 交 给 下 一 个 步骤 
来 处 理 。 这 样 ,下 一 个 步骤 处 理 的 数据 量 将 会 大 量 减 少 ,间接 地 缩短 了 每 个 数据 包 的 平均 处 
理 时 间 , 因 而 提升 了 数据 吞吐 率 。 除 此 之 外 ,进行 了 分 步 处 理 , 各 个 步骤 可 以 更 灵活 地 控制 ， 
可 以 提高 网 络 数据 包 过 滤 的 可 配置 性 。 

根据 网 络 数据 包 的 特性 ,将 过 滤 分 为 两 个 步骤 来 进行 :访问 控制 和 内 容 过 滤 。 

CD 访问 控制 根据 TP 数据 包 中 的 固定 偏 移 信息 (CIP 包头 ) 对 该 数据 包 做 出 某 种 处 理 , 而 
不 考察 TP 数据 包 的 内 容 部 分 。 

解决 访问 控制 的 问题 , 包 过 滤 技 术 无 疑 是 一 种 好 的 方案 。 包 过 滤 技 术 是 通过 查看 流 经 
的 IP 数据 包 的 包头 (包括 TP 地 址 .端口 ,协议 等 ), 由 此 决定 对 整个 IP 包 的 处 理 。 它 可 能 丢 
弃 这 个 包 , 可 能 会 接受 这 个 包 ( 让 这 个 包 通 过 ) ,也 可 能 执行 其 他 更 复杂 的 动作 。 完 全 基于 这 
种 规则 匹配 的 访问 控制 机 制 , 在 规则 数目 较 少 的 时 候 , 其 性 能 还 是 让 人 满意 的 ,但 是 当 规 则 
数目 变 大 的 时 候 , 此 时 即便 是 当前 仅 存 在 一 个 流量 ,也 要 去 从 庞大 的 规则 集中 找寻 是 否 存在 
与 之 相 适 应 的 规则 ,这 无 疑 是 低 效 的 。 状 态 包 过 滤 技 术 可 有 效 地 解决 这 个 问题 。 传 统 的 包 
过 滤 技 术 只 是 通过 检测 IP 包头 的 相关 信息 来 决定 数据 流 的 通过 还 是 拒绝 ,而 状态 包 过 滤 技 
术 采 用 的 一 种 基于 流量 的 状态 检测 机 制 ,将 属于 同一 流量 的 所 有 包 作 为 一 个 整体 的 数据 流 
看 待 ,构成 流量 状态 表 , 通 过 维护 状态 表 中 的 流量 信息 ,避免 了 对 规则 表 的 过 多 的 访问 , 因 
此 ,与 传统 包 过 滤 技 术 的 静态 过 滤 规 则 表 相 比 ,状态 包 过 滤 技 术 具 有 更 好 的 性 能 。 

当 包 过 滤 系 统 接收 到 一 个 初始 化 TCP 连接 的 SYN 包 时 ,这 个 带 有 SYN 包 的 数据 包 就 
被 系统 中 所 设置 的 规则 表 检 查 ( 在 规则 表 检 查 的 时 候 , 不 考虑 它 是 否 是 SYN, ACK 或 其 他 
的 什么 包 ) 。 该 包 在 规则 表 中 进行 比较 ,如 果 在 检查 了 所 有 的 规则 后 ,该 包 没 有 被 接受 ,那么 
拒绝 该 次 连接 。 如 果 该 包 被 接受 ,那么 本 次 连接 所 对 应 的 流量 信息 被 记录 到 状态 表 里 。 随 
后 的 数据 包 ( 不 带 有 SYN 标志 ) 就 和 该 状态 表 的 内 容 进行 比较 。 如 果 流 量 信息 在 状态 表 内 
(该 数据 包 是 该 流量 的 一 部 分 ) ,该 数据 包 被 接受 。 如 果 不 是 流量 的 一 部 分 ,该 数据 包 再 次 接 
受 规则 表 的 检查 。 这 种 方式 提高 了 系统 性 能 。 大 多 数 时 候 只 有 含有 SYN 标志 的 数据 包 才 
和 规则 表 进 行 比较 。 剩 下 的 数据 包 和 状态 表 进 行 比较 ,状态 表 的 匹配 速度 是 非常 快 的 ,因为 
状态 表 时 刻 都 处 在 一 个 非常 紧凑 的 状态 。 

虽然 UDP 连接 是 无 状态 的 .但 是 仍然 可 以 用 类 似 的 方法 来 维护 这 些 连接 。 当 一 个 完 
成 规则 检查 的 数据 包 被 允许 通过 的 时 候 , 它 所 属 的 流量 被 添加 到 状态 表 内 ,并 设置 一 个 时 间 
值 ,在 这 个 时 间 值 内 ,该 流量 上 任何 到 达 的 数据 包 都 会 被 允许 通过 。 

对 于 非 TCP, UDP 的 数据 包 , 状 态 表 中 的 操作 同 UDP 一 样 。 
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经 由 规则 表 或 者 状态 表 处 理 后 ,还 需要 判断 该 包 是 否 属 于 一 个 可 疑 连接 ,如 果 是 的 话 ， 
则 交 给 步骤 加 的 内 容 过 滤 来 处 理 。 

© 内 容 过 滤 是 深度 包 过 滤 的 一 个 核心 模块 ,本 质 上 是 一 个 模式 匹配 问题 。 

内 容 过 滤 在 国内 外 都 有 研究 .但 是 当前 的 大 多 数 内 容 过 滤 都 是 基于 软件 实现 的 ,这 样 需 
要 占用 一 定 的 系统 资源 。 另 外 ,其 大 多 数 软件 也 是 基于 主机 的 ,一 个 客户 端 需要 一 套 软件 ， 
因而 管理 不 方便 。 除 此 之 外 ,过 滤 本 身 还 停留 在 驱动 程序 的 层面 上 ,吞吐 量 不 大 。 当 前 的 所 
有 明文 信息 过 滤 算法 大 致 可 以 分 为 两 类 :基于 跳 转 表 的 明文 信息 过 滤 算 法 和 基于 自动 机 的 
明文 信息 过 滤 算 法 。 前 者 通过 建立 Shift 表 、Hash RA Prefix 表 使 得 在 匹配 过 程 中 大 范围 
的 跳跃 成 为 可 能 ,从 而 提升 软件 过 滤 的 性 能 ,但 同时 也 应 看 到 该 算法 需要 维护 Shift 表 、 
Hash 表 和 Prefix 表 的 数据 结构 ,因而 是 比较 复杂 的 。 其 操作 在 一 种 半 结 构 的 数据 结构 上 ， 
并 且 所 用 到 的 存储 空间 也 非常 大 ,但 是 计算 量 相对 较 小 ,因此 该 算法 非常 适合 用 软件 实现 ; 
诸如 AC 算法 以 及 它 的 一 些 改进 算法 最 终 都 依靠 自动 机 (automate) 来 实现 ,自动 机 很 容易 
地 映射 为 硬件 设计 中 的 状态 机 。 状 态 机 是 组 合 逻辑 和 寄存 器 逻辑 的 特殊 组 合 ,尤其 适合 数 
字 系统 的 控制 器 设计 。 如 果 将 内 容 过 滤 由 专门 的 硬件 来 实现 ,一 定 能 大 幅度 提高 过 滤 效率 。 

应 用 层 的 内 容 过 滤 需 要 大 量 的 计算 资源 ,很 多 情况 下 高 达 100 倍 甚至 更 高 ,因而 要 执行 
深度 包 过 滤 , 带 来 的 问题 必然 是 性 能 的 下 降 , 这 就 是 所 谓 的 内 容 处 理 障碍 。 为 了 突破 内 容 处 
理 障 碍 ,达到 实时 地 分 析 网 络 内 容 和 行为 。 需 要 重点 在 加 速 上 采取 有 效 的 办 法 。 通 过 采用 
更 加 优化 的 模式 匹配 算法 ,可 以 在 一 定 程度 上 解决 这 个 问题 。 


7.4 防火 墙 体系 结构 


1. 双重 宿主 主机 体系 结构 

双重 宿主 主机 体系 结构 围绕 双重 宿主 主机 构筑 ,至 少 有 两 个 网 络 接口 。 宿 主 主 机 充当 
网 络 之 间 的 路 由 器 ,能够 从 一 个 网 络 到 另外 一 个 网 络 发 送 IP 数据 包 。IP 数据 包 并 不 是 从 
一 个 网 络 ( 如 外 部 网 络 ) 直 接 发 送 到 另 一 个 网 络 ( 如 内 部 网 络 ) 。 外 部 网 络 能 与 双重 宿主 主机 
通信 ,内 部 网 络 也 能 与 双重 宿主 主机 通信 。 但 是 外 部 网 络 与 内 部 网 络 不 能 直接 通信 ,它们 之 
间 的 通信 必须 经 过 双重 宿主 主机 的 过 滤 和 控制 。 

2. 被 屏蔽 主机 体系 结构 

被 屏蔽 主机 体系 结构 防火 墙 则 使 用 一 个 路 由 器 把 内 部 网 络 和 外 部 网 络 隔离 开 , 这 种 体 
系 结构 主要 的 安全 由 数据 包 过 滤 提 供 (例如 ,防止 人 们 绕 过 代理 服务 器 直接 相连 ) ,涉及 堡 从 
主机 。 堡 又 主机 是 Internet 上 的 主机 能 连接 到 的 唯一 的 内 部 网 络 上 的 系统 。 任 何 外 部 的 系 
统 要 访问 内 部 的 系统 或 服务 都 必须 先 连接 到 这 台 主 机 。 因 此 堡垒 主 机 要 保持 更 高 等 级 的 主 
机 安全 。 

3. 被 屏蔽 子 网 体系 结构 

被 屏蔽 子 网 体系 结构 添加 额外 的 安全 层 到 被 屏蔽 主机 体系 结构 , 即 通 过 添加 周边 网 络 
更 进一步 的 把 内 部 网 络 和 外 部 网 络 (通常 是 Internet) 隔 离开 ,在 内 部 网 络 与 外 部 网 络 之 间 
形成 了 一 个 “隔离 带 ”。 为 了 侵入 用 这 种 体系 结构 构筑 的 内 部 网 络 , 侵 袭 者 必须 通过 两 个 路 
由 器 。 即 使 侵袭 者 侵入 堡垒 主机 :将 仍然 必须 通过 内 部 路 由 器 。 
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7.5 防火 墙 配 置 


7.5.1 网 络 防 火 墙 配置 


网 络 防火 墙 已 经 成 为 了 用 户 上 网 必 备 的 安全 工具 ,但 是 很 多 人 并 没有 让 网 络 防火 墙 真 
正 发 挥 作用 。 

大 多 数 人 对 于 网 络 防火 墙 的 功能 不 加 以 设置 ,对 网 络 防火 墙 的 规则 不 加 以 设置 一 一 这 
FÉ ,网 络 防火 墙 作 用 就 会 大 大 减弱 。 

网 络 防火 墙 的 默认 设置 一 般 都 只 能 是 普遍 的 设置 ,也 就 是 说 这 样 的 设置 要 大 致 适合 大 
多 数 普通 用 户 。 其 实 不 同 用 户 对 于 上 网 的 安全 要 求 是 不 一 样 的 ,普通 的 设置 就 不 一 定 适合 
所 有 用 户 。 

1. 功能 设置 

功能 设置 属于 外 部 设置 。 原 因 是 ,这 些 设置 不 会 改变 规则 中 要 求 拦 截 和 放行 对 象 。 

对 于 经 常 上 网 的 用 户 来 说 ,防火 墙 随 计 算 机 开机 而 启动 是 绝对 不 可 少 的 。 对 于 拨号 用 
户 或 不 常 上 网 的 用 户 来 说 ,防火 墙 的 启动 有 两 种 方案 : 

(1) 上 网 前 手动 开启 防火 墙 ( 一 般 用 户 ) 。 

(2) 用 一 个 文件 使 防火 墙 和 网 络 连接 一 起 启动 (高 级 用 户 ) 。 

通常 ,网 络 防火 墙 都 会 有 一 个 安全 等 级 选项 。 这 个 选择 不 可 以 随便 选 。 因 为 ,有 不 少 用 
户 就 是 因为 不 根据 实际 情况 选择 ,而 导致 无 法 使 用 某 些 网 络 资源 或 被 黑客 有 机 可 乘 。 

对 于 有 固定 IP 的 用 户 来 说 ,一 般 设 置 为 中 等 。 因 为 ,这 些 用 户 不 能 随意 改变 自己 的 
IP, 所 以 防御 必须 比 动态 IP 用 户 要 高 一 些 。 

但 是 ,是 不 是 越 高 越 好 呢 ? 不 是 。 某 些 用 户 , 因 为 不 切实 际 的 把 安全 等 级 设置 为 高 级 ， 
而 又 不 会 在 规则 中 设置 相应 网 络 规则 ,而 导致 无 法 使 用 某 些 网 络 资源 ,如 在 线 直播 等 。 建 议 
一 般 用 户 将 规则 设置 为 中 低 即 可 。 

至 于 其 他 报警 设置 等 ,根据 自己 的 需要 设置 。 需 要 注意 的 是 ,安全 日 志 一 定 要 记录 。 便 
于 管理 员 检 查 。 

2. 规则 设置 

IGMP 炸弹 都 让 很 多 用 户 感 到 头痛 。 所 以 某 些 用 户 干脆 禁止 所 有 ICMP 和 IGMP. 

这 样 ,显然 这 是 不 大 好 的 设置 。 因 为 ICMP 和 IGMP 虽然 可 能 被 人 利用 来 做 炸弹 ,但 
是 总 不 能 全 部 拦截 。 且 不 说 别 的 ,就 说 因为 全 部 拦截 ICMP、IGMP 所 耗费 的 系统 资源 就 数 
不 胜 数 。 

建议 拦截 的 是 ICMP 的 echo request, 一 般 这 样 就 足够 了 。 为 什么 呢 ? 原 因 是 为 了 防 黑 
客 用 Ping 命令 查询 你 是 否 在 线 , 所 以 此 类 ICMP 必须 拦截 。 

如 果 还 是 担心 ICMP 和 IGMP 炸弹 ,不 妨 去 Microsoft 官网 下 载 补丁 程序 。 

网 络 防火 墙 的 一 大 功能 就 是 防 木马 和 防 黑客 ,所 以 自己 设置 规则 拦截 木马 和 阻截 黑客 
是 必要 的 。 

网 络 防火 墙 有 默认 的 规则 。 但 是 ,这 只 是 最 常见 的 木马 和 漏洞 。 对 于 新 的 危害 大 的 木 
马 和 漏洞 , 铠 怕 原 先 的 规则 就 不 能 胜任 它 的 任务 了 。 
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那么 怎样 设置 规则 呢 ? 

CD 我 们 必须 利用 反 病 毒 厂 家 网 站 提供 的 信息 。 因 为 ,那里 详细 记载 了 许多 病毒 .木马 
的 分 析 结 果 和 漏洞 的 资料 。 哪 怕 你 有 分 析 木 马 源 程序 和 找 出 漏洞 的 能 力 , 也 没 必 要 任何 事 
情 都 亲 力 亲 为 ,因为 木马 和 漏洞 实在 太 多 了 ,全 部 代码 都 自己 分 析 ,根本 是 不 切实 际 的 。 

(2) 设置 自己 的 防火 墙 。 由 于 不 同 厂 家 网 络 防火 墙 设置 规则 上 有 所 不 同 ,所 以 本 文 不 
可 能 详细 讲解 。 

当然 ,设置 规则 需要 一 定 的 专业 知识 。 对 于 一 般 用 户 来 说 ,可 以 借用 别人 的 成 果 。 例 
如 ,去 论坛 请 教 高 手 或 直接 发 邮件 询问 高 手 即 可 解决 。 

还 需要 注意 的 是 ,规则 不 要 重复 ,更 不 要 了 矛盾。 重复 的 规则 浪费 系统 资源 ;矛盾 的 规则 
让 防火 墙 左右 为 难 , 最 终 让 别人 有 机 可 乘 。 

网 络 防 火 墙 设置 是 很 有 意思 的 学 问 ,真正 关心 安全 的 人 士 都 应 该 了 解 基 本 的 原理 ,并 亲 
自 设置 自己 的 防火 墙 。 


7.5.2 防火 墙 的 组 网 结构 


1. 控制 来 自 Internet 对 内 部 网 络 的 访问 

这 是 一 种 应 用 得 最 广 .最 为 重要 的 防火 墙 应 用 环境 。 在 这 种 应 用 环境 下 ,防火 墙 主要 保 
护 内 部 网 络 不 遭受 外 网 用 户 的 攻击 。 目 前 很 多 企业 ,特别 是 中 小 型 企业 采用 防火 墙 的 主要 
原因 。 

在 这 种 应 用 环境 中 ,防火 墙 网 络 可 划分 为 3 个 不 同 级 别 的 安全 区 域 。 

(1) 内 部 网 络 : 这 是 防火 墙 要 保护 的 对 象 ,包括 全 部 的 企业 内 部 网 络 设备 及 用 户主 机 。 
不 过 要 注意 的 是 , 它 是 从 总 体 上 来 进行 保护 ,就 是 把 握 内 、 外 部 网 络 的 出 、 入 口 ,而 不 针对 具 
体 的 主机 。 这 个 区 域 是 防火 墙 的 可 信任 区 域 (这 是 由 传统 边界 防火 墙 的 设计 理念 决定 的 ) 。 

(2) 外 部 网 络 : 这 是 防火 墙 要 防护 的 对 象 , 包 括 外 部 Internet 主机 和 设备 。 这 个 区 域 为 
防火 墙 的 非 可 信和 网 络 区 域 ( 也 是 由 传统 边界 防火 墙 的 设计 理念 决定 的 ) 。 

(3) DMZ( 非 军事 区 ): 它 是 从 企业 内 部 网 络 中 划分 的 一 个 小 区 域 ,其 中 就 包括 内 部 网 
络 中 用 于 公众 服务 的 外 部 服务 器 ,如 Web 服务 器 、 邮 件 服务 器 、FTP 服务 器 及 外 部 DNS 服 
务 器 等 ,它们 都 为 Internet 提供 某 种 信息 服务 。 在 这 个 区 域 中 的 网 络 受 保护 的 级 别 较 低 , 因 
为 如 果 级 别 太 高 ,这些 提供 公共 服务 的 网 络 应 用 就 无 法 进行 。 也 正 因为 如 此 ,在 这 个 区 域 中 
的 网 络 设备 所 运行 的 应 用 也 非常 单一 。 

在 以 上 3 个 区 域 中 ,用 户 需要 对 不 同 的 安全 区 域 应 用 不 同 的 安全 策略 。 虽 然 内 部 网 络 
和 DMZ 区 都 属于 企业 内 部 网 络 的 一 部 分 ,但 它们 的 安全 级 别 ( 策 略 ) 不 同 。 对 于 要 保护 的 
大 部 分 内 部 网 络 ,一 般 情况 下 禁止 所 有 来 自 Internet 用 户 的 访问 ;而 由 企业 内 部 网 络 划 分 出 
去 的 DMZ IX , 因 需 为 Internet 应 用 提供 相关 的 服务 ,所 以 在 一 定 程度 上 没有 内 部 网 络 限制 
那么 严格 ,如 Web 服务 器 通常 允许 任何 人 进行 正常 访问 。 许 多 人 都 认为 ,如 果 这 样 的 话 这 
些 服务 器 很 容易 受 攻击 , 按 原理 来 说 是 这 样 , 但 是 由 于 在 这 些 服务 器 上 所 安装 的 服务 非常 
少 , 所 允许 的 权限 非常 低 ,真正 的 服务 器 数据 在 受 保护 的 内 部 网 络 主机 上 ,所 以 黑客 攻击 这 
些 服 务 器 没有 任何 意义 , 既 不 能 获取 有 用 的 信息 ,也 不 能 通过 攻击 它 而 获得 过 高 的 网 络 访问 
权限 。 

一 般 建议 通过 NAT( 网 络 地 址 转换 ) 技 术 将 受 保护 的 内 部 网 络 的 全 部 主机 地 址 映像 成 
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防火 墙 上 设置 的 少数 几 个 有 效 公 网 IP 地 址 。 这 样 做 好 处 是 可 以 对 外 屏蔽 内 部 网 络 结构 和 
IP 地 址 ,保护 内 部 网 络 的 安全 ;同时 因为 是 公 网 IP 地 址 共享 ,所 以 可 以 大 大 节省 公 网 IP. 地 
址 的 使 用 ,节省 企业 投资 成 本 。 

在 这 种 应 用 环境 中 ,在 网 络 拓扑 结构 上 企 事业 单位 可 以 有 两 种 选择 ,这 主要 是 根据 企业 
原 有 网 络 设备 情况 而 定 的 。 

企业 如 果 已 有 边界 路 由 器 , 则 可 充分 利用 原 有 设备 ,利用 边界 路 由 器 的 包 过 滤 功 能 , 添 
加 相应 的 防火 墙 配置 ,这 样 原 来 的 路 由 器 也 就 具有 了 防火 墙 功 能 。 然 后 再 利用 防火 墙 与 需 
要 保护 的 内 部 网 络 连接 。 对 于 DMZ 区 中 的 公用 服务 器 , 则 可 直接 与 边界 路 由 器 相连 ,不 用 
经 过 防火 墙 。 它 可 只 经 过 路 由 器 的 简单 防护 。 在 此 拓扑 结构 中 ,边界 路 由 器 与 防火 墙 一 起 
组 成 了 两 道 安全 防线 ,并 且 在 这 两 者 之 间 可 以 设置 一 个 DMZ 区 ,用 来 放置 那些 允许 外 部 用 
户 访问 的 公用 服务 器 设施 。 网 络 拓扑 图 如 图 7-1 所 示 。 


图 7-1 网 络 拓扑 图 1 


如 果 企 业 原来 没有 边界 路 由 器 ,此 时 也 可 不 再 添加 边界 路 由 器 , 仅 由 防火 墙 来 保护 内 部 
网 络 。 此 时 DMZ 区 域 和 需要 保护 的 内 部 网 络 分 别 连接 防火 墙 的 不 同 LAN 网 络 接口 ,因此 
需要 对 这 两 部 分 网 络 设置 不 同 的 安全 策略 ,如 图 7-2 所 示 。 这 种 拓扑 结构 虽然 只 有 一 道 安 
全 防线 ,但 对 于 大 多 数 中 、 小 企业 来 说 , 则 完全 可 以 满足 需求 。 不 过 在 选 购 防火 墙 时 就 要 注 
意 ,防火 墙 一 定 要 有 两 个 以 上 的 LAN 网 络 接口 。 它 与 我 们 前 面 所 介绍 的 “多 宿主 机 ”结构 
一 样 


2. 控制 内 部 网 络 不 同 部 门 之 间 的 访问 

这 种 应 用 环境 就 是 在 一 个 企业 内 部 网 络 之 间 , 对 一 些 安全 敏感 的 部 门 进行 隔离 保护 。 
通过 防火 墙 保护 内 部 网 络 中 敏感 部 门 的 资源 不 被 非法 访问 。 这 些 所 谓 的 “敏感 部 门 ”通常 是 
指 人 事 部 门 、 财 务 部 门 和 市 场 部 门 等 ,在 这 些 部 门 网 络 主机 中 的 数据 对 于 企业 来 说 是 非常 重 
要 , 它 的 工作 不 能 完全 离开 企业 网 络 ,但 其 中 的 数据 又 不 能 随便 供 网 络 用 户 访问 。 这 时 有 几 
种 解决 方案 通常 是 采用 VLAN 配置 ,但 这 种 方法 需要 配置 三 层 以 上 交换 机 ,同时 配置 方法 
较为 复杂 。 另 一 种 有 效 的 方法 就 是 采用 防火 墙 进 行 隔离 ,在 防火 墙 上 进行 相关 的 配置 ( 比 起 
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Internet 


图 7-2 网 络 拓扑 图 2 


VLAN 来 简单 许多 ) 。 通 过 防火 墙 隔离 后 ,尽管 同属 于 一 个 内 部 局 域 网 ,但 是 其 他 用 户 的 访 
问 都 需要 经 过 防火 墙 的 过 滤 ,符合 条 件 的 用 户 才 能 访问 。 这 类 防火 墙 通常 不 仅 通过 包 过 滤 
来 筛选 数据 包 的 ,而 且 还 要 对 用 户 身份 的 合法 性 (在 防火 墙 中 可 以 设置 允许 哪些 用 户 访问 ) 
进行 识别 ,一 般 为 自 适 应 代理 服务 器 型 防火 墙 ,这 种 防火 墙 方案 还 可 以 有 日 志 记 录 功 能 ,有 
助 于 网 管 员 了 解 网 络 安全 现状 及 改进 。 网 络 拓扑 结构 如 图 7-3 所 示 。 


图 7-3 网 络 拓扑 图 3 


7.5.3 个 人 防火 墙 配 置 


天 网 防火 墙 是 国内 外 针对 个 人 用 户 最 好 的 中 文 软件 防火 墙 之 一 ,在 目前 Internet 受 攻 
击 案件 数量 直线 上 升 的 情况 下 ,用 户 随时 都 可 能 遭 到 各 种 恶意 攻击 ,这 些 恶 意 攻击 可 能 导致 
的 后 果 是 您 的 上 网 账号 被 窃取 、 冒 用 、 银 行 账号 被 盗用 .电子 邮件 密码 被 修改 .财务 数据 被 利 
用 、 机 密 档案 丢失 、 隐 私 曝 光 等 ,甚至 黑客 (Hacker) 或 剑客 (Cracker) 通 过 远程 控制 删除 了 您 
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硬盘 上 所 有 的 资料 数据 ,整个 计算 机 系统 架构 全 面 崩 溃 。 
在 安装 完 天 网 防火 墙 时 ,会 弹出 设置 向 导 , 如 图 7-4 Bron o 
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图 7-4 设置 向 导 


一 般 用 户 通 常 可 以 将 安全 级 别 选 择 为 "中 ”。 
图 7-5 列 出 经 常 访问 网 络 的 程序 ,可 以 选择 是 否 允 许 该 程序 访问 网 络 。 最 后 ,选择 “ 结 
”完成 向 导 设 置 , 如 图 7-6 所 示 。 


ESRLES LEE 
常用 应 用 程序 设置 


ET 器 
Biss M A A posed 


但 是 在 Vindovs 操作 系统 中 ， 有 许多 正常 的 网 络 程序 
eu SU ER CE GU IMA. 


在 您 的 电脑 中 找到 访问 网 络 的 程序 如 下 。 您 可 
以 在 ERSE ETER i aa 问 网 络 。 


回 Services and Controller app 

回 LSA Executable and Server DLL (Export Version) 
回 Spooler SubSystem App 

Elvinlogon. exe 

回 Generic Host Process for Win32 Services 
EIPFVLiveUpdate. EXE 

4I 
路 径 : C: WINDOWS Vsysten32M1sass. exe. 
描述 Windows 操作 系统 的 本 地 安全 认证 程序 。 


[| 


图 7-5 常用 应 用 程序 设置 


231 


网 络 安全 技术 


232 
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向 导 设置 完成 
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图 7-6 设置 向 导 结束 


对 于 高 级 用 户 , 有 时 候 需 要 自己 来 自 定义 规则 来 实现 特殊 要 求 。 

1. 添加 规则 

TP 规则 是 一 系列 的 比较 条 件 和 一 个 对 数据 包 的 动作 组 合 , 它 能 根据 数据 包 的 每 一 个 部 
分 来 与 设置 的 条 件 进行 比较 。 当 符合 条 件 时 ,就 可 以 确定 对 该 包 放 行 或 者 阻挡 。 通 过 合理 
的 设置 规则 可 以 把 有 害 的 数据 包 挡 在 你 的 机 器 之 外 ,也 可 为 某 些 有 合法 网 络 请 求 的 程序 开 
辟 绿 色 通 道 。 

虽然 天 网 中 已 经 设置 好 了 很 多 规则 ,可 是 每 个 人 的 情况 不 同 ,还 要 根据 自己 的 情况 来 制 
定 自己 的 规则 (在 天 网 防火 墙 的 IP 规则 列表 中 ,位 于 前 端的 规则 会 首先 动作 ,并 且 忽略 后 面 
有 相关 联系 的 规则 ,从 而 使 为 特别 网 络 服务 开辟 绿色 通道 成 为 可 能 )。 例 如 ,用 户 在 自己 的 
机 器 中 创建 了 一 个 FTP 服务 器 ,用 来 和 朋友 分 享 各 类 资源 ,但 朋友 反映 不 能 连接 。 仔 细 查 
找 ,发 现 原 来 是 天 网 在 “作怪 ”, 于 是 就 给 FTP 设置 一 条 特别 的 IP 规则 方便 使 用 。 

单 击 系统 托盘 中 的 天 网 图 标 打 开 程序 界面 ,在 主 界面 的 左 侧 单 击 第 二 个 图 标 *IP 规则 
管理 ”。 

单 击 “ 增 加 规则 ”按钮 ,弹出 “增加 TP 规则 ”窗口 ,在 "名称 ”中 输入 一 个 将 要 显示 在 IP 规 
则 列表 中 的 名 字 , 在 下 方 的 “说 明 * 中 填写 对 该 条 规则 的 描述 ,防止 以 后 忘 了 该 规则 的 用 途 。 
因为 用 户 建立 的 FTP 服务 器 需要 与 朋友 交换 数据 ,因此 在 “数据 包 方向 ”中 通过 下 拉 菜 单 选 
中 “接收 和 发 送 ”; 如 果 朋 友 都 没有 固定 的 IP 地 址 ,可 在 “对 方 IP 地 址 ”中 选择 “任何 地 址 ”; 
另外 ,由 于 FTP 服务 器 基于 TCP/IP 协议 ,并 且 需 要 开放 本 机 的 21 端口 ,因此 在 “数据 包 协 
议 类 型 "中 选择 TCP 协议 ,在 “本 地 端口 ”中 输入 0 和 21 开放 该 端口 。 由 于 不 限制 对 方 使 用 
何 种 端口 进行 连接 ,所 以 可 在 “对 方 端口 ”中 保持 默认 的 0; 最 后 ,在 “ 当 满 足 上 面条 件 时 ”的 
下 拉 菜 单 中 选择 “通行 "来 放行 即 可 。 

经 过 上 面 的 设置 ,本 机 的 21 端口 就 被 打开 了 。 返 回 天 网 主 界面 ,选中 新 创建 的 FTP 规 
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则 , 按 住 个 将 其 移动 到 *TCP 数据 包 监视 ?规则 的 下 方 , 以 跳 过 最 严厉 的 “禁止 所 有 人 连接 ” 
规则 ,然后 单 击 “ 保 存 规 则 ”保存 设置 。 现 在 重新 启动 天 网 防火 墙 即 可 生效 。 

如 果 想 在 天 网 的 连接 日 志 中 记录 朋友 们 的 访问 IP 情况 ,可 以 在 “同时 还 ”中 色 选 “记录 ” 
2. 备份 与 恢复 规则 

如 果 已 经 创建 或 修改 了 很 多 的 IP 规则 , 当 需 要 重新 安装 系统 或 天 网 的 时 候 还 要 来 设置 
这 些 规则 。 因 此 ,采用 导出 后 备份 , 当 需 要 时 再 导入 恢复 是 最 简单 的 方法 。 

单 击 “ 导 出 规则 ”按钮 ,打开 导出 设置 窗口 ,在 “文件 名 ”中 设 定 保存 备份 的 文件 夹 , 在 下 
方 的 TP 规则 列表 中 选中 自己 创建 的 TP 规则 (也 可 单 击 * 全 选 ? 按 钮 备份 全 部 IP 规则 ) , 单 击 
“确定 ”按钮 后 即 可 导出 进行 备份 了 。 

当 需 要 恢复 时 ,只 有 单 击 * 导 和 人 规则”, 通 过 “打开 ”窗口 找到 并 双击 备份 的 IP 规则 文件 
即 可 导入 了 。 

了 解 了 天 网 的 IP 规则 设置 的 方法 以 后 ,就 不 会 让 天 网 防火 墙 将 合法 程序 挡 在 门 外 。 网 
络 服务 程序 不 使 用 常见 端口 ,不 知道 它 需 要 开放 哪些 端口 时 ,可 以 使 用 一 个 最 简单 的 方法 ， 
启动 被 阻止 的 程序 ,打开 天 网 防火 墙 的 安全 日 志 , 看 看 它 到 底 阻止 了 哪个 端口 ,哪个 端口 就 
是 需要 用 IP 规则 开放 的 端口 。 

3. 天 网 防火 墙 下 实现 BT 加 速 

“天 网 防火 墙 ( 下 载 ) "在 默认 设置 下 ,下 载 端口 是 没有 开启 的 ,需要 手动 修改 防火 墙 IP 
规则 。 

CD 打开 “天 网 防火 墙 " 主 界面 ,在 工具 栏 单 击 “IP 规则 管理 "图标 ,打开 “ 自 定义 IP 规 
则 ”页 面 , 单 击 “ 增 加 规则 ”图 标 , 弹 出 “增加 TP 规则 ”对 话 框 。 

(2) 在 窗口 中 应 用 此 设置 ,规则 名 称 为 BT. EBT 默认 下 载 端口 设置 " 填 上 有 关 规 
则 说 明 。 数 据 包 方 向 为 “接收 和 发 送 ”, 对 方 IP 地 址 为 “任何 地 址 ”。 数 据 包 协议 类 型 为 
TCP, 本 地 端口 设置 为 7331 一 7339,TCP 标志 位 下 面 的 复 选 框 全 部 选 上 对 钧 , 当 满 足 上 面条 
件 时 设置 为 “通行 ”, 右 边 同 时 还 勾 选 “ 记 录 ”。 

G) 确定 后 将 在 * 自 定义 IP 规则 ”中 增加 一 个 “BT 规则 ”, 在 前 面 复 选 框 勾 选 , 保 存 规则 
即 可 。 

4. 挡住 部 分 网 页 病毒 的 方法 

(1) 安装 天 网 后 , 它 默认 是 不 防 网 页 病毒 的 ,按照 以 下 步骤 可 以 让 天 网 挡住 当前 流行 的 
一 大 部 分 网 页 病毒 。 

(2) 先 上 线 并 打开 天 网 。 

在 桌面 依次 选择 “新 建 ”>“ 快 捷 方式 "命令 ,然后 输入 : 

hh.exe "http://www .*** -Cam 

这 里 的 hh. exe 是 运行 Windows 的 HTML 帮助 的 程序 ,但 是 它 也 可 以 访问 网 络 ,而 且 
比 IE 的 执行 权限 要 大 ,也 就 是 说 : 在 IE 里 不 能 被 执行 的 命令 ,可 以 被 它 执行 ,如 果 恶 意 网 
站 调用 了 它 , 可 能 会 危害 系统 。 

G) 在 桌面 上 右 击 选择 :“ 新 建 ”>“ 快 捷 方式 ”命令 ,然后 输入 : 


mshta.exe "http:/ /www.*** -Com 
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mshta. exe 是 Microsoft 的 基于 Web 的 应 用 程序 。 但 是 它 也 可 以 访问 网 络 ,并 且 权 限 
大 得 惊人 , 当 它 访问 网 络 时 , 它 本 身 就 拥有 和 本 地 应 用 程序 一 样 大 的 对 系统 的 可 操作 权限 ， 
它 执行 网 页 里 的 任何 TE 不 能 执行 或 是 说 没 权限 执 行 的 可 执行 代码 而 不 给 出 提示 。 如 果 恶 
意 网 站 调用 了 它 的 话 , 用 户 的 系统 和 硬盘 就 会 被 他 人 控制 。 

(4) 分 别 运行 这 两 个 程序 。 这 时 候 天 网 会 立即 弹出 窗口 询问 是 否 允 许 它们 访问 网 络 ， 
全 部 选择 禁止 。 

(5) 现在 就 可 以 关 掉 那 窗口 , 删 掉 刚刚 建立 的 快捷 方式 了 。 


7.6 防火 墙 的 选 型 


防火 墙 作为 网 络 边界 的 安全 哨 卡 ,其 重要 性 已 经 越 来 越 得 到 企业 的 认可 。 这 就 意味 着 
防火 墙 的 市 场 需求 越 来 越 大 。 因 此 ,国内 外 众多 商家 纷纷 投身 防火 墙 市 场 的 激烈 竞争 ,这 样 
就 形成 了 防火 墙 产品 的 品牌 五 花 八 门 ,档次 参差 不 齐 , 企 业 选 择 防 火 墙 也 就 眼花 综 乱 ,无 所 
EMA. WMA ,作为 企业 级 用 户 , 如 何 来 选择 一 款 既 满足 需求 ,又 价格 合理 的 防火 墙 产 品 呢 ? 


7.6.1 防火 墙 的 选择 原则 


1. 做 好 需求 分 析 

选择 合适 产品 的 一 个 前 提 条 件 就 是 ,明确 企业 本 身 的 具体 需求 。 因 此 ,选择 产品 的 第 一 
个 步 又 就 是 针对 企业 自身 的 网 络 结构 .业务 应 用 系统 ,用户 及 通信 流量 规模 、 防 攻击 能 力 、 可 
靠 性 、 可 用 性 、 易 用 性 等 具体 需求 进行 分 析 。 

2. 选择 原则 

在 整理 出 具体 的 需求 以 后 ,可 以 得 到 一 份 防火 墙 的 需求 分 析 报 告 。 下 一 步 的 工作 就 是 
在 众多 的 品牌 和 档次 中 选 出 满足 各 种 需求 的 品牌 ,并 考虑 一 定 的 扩展 性 要 求 。 选 择 的 主要 
原则 有 : 

(1) 以 需求 为 导向 

选择 最 适合 本 企业 需求 的 产品 。 由 于 防火 墙 的 各 项 指标 具有 较 强 的 专业 性 ,因此 企业 
在 选择 时 ,有 必要 把 防火 墙 的 主要 指标 和 需求 联系 起 来 。 另 外 ,还 要 考虑 到 企业 可 承受 的 性 
价 比 。 

(2) 对 于 产品 的 选 型 

可 参考 的 指标 来 源 有 厂家 提供 的 技术 白皮书 、 各 种 测评 机 构 的 横向 对 比 测试 报告 ,从 中 
可 以 了 解 产品 的 一 些 基 本 性 能 情况 。 

(3) 按 需求 给 方案 

要 完全 按照 企业 的 实际 需求 来 对 比 各 种 品牌 的 满足 程度 ,最 好 是 根据 需求 ,定制 一 套 解 
决 方案 ,并 对 防火 墙 在 统一 测试 条 件 和 测试 环境 下 进行 横向 对 比 。 


7.6.2 选择 防火 墙 的 两 个 要 素 


l. 防火 墙 管理 的 难 易 度 
防火 墙 管 理 的 难 易 度 是 防火 墙 能 否 达 到 目的 的 主要 考虑 因素 之 一 。 一 般 企业 之 所 以 很 
少 以 已 有 的 网 络 设备 直接 当 作 防 火 墙 的 原因 ,除了 先前 提 到 的 包 过 滤 并 不 能 达到 完全 的 控 
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制 之 外 , 设 定 工作 困难 、 须 具备 完整 的 知识 以 及 不 易 除 错 等 管理 问题 ,更 是 一 般 企 业 不 愿意 
使 用 的 主要 原因 。 

2. 防火 墙 自身 的 安全 性 

大 多 数 人 在 选择 防火 墙 时 都 将 注意 力 放 在 防火 墙 如 何 控制 连接 以 及 防火 墙 支持 多 少 种 
服务 ,但 往往 忽略 了 一 点 : 防火 墙 也 是 网 络 上 的 主机 之 一 ,也 可 能 存在 安全 问题 ,防火 墙 如 
果 不 能 确保 自身 安全 , 则 防火 墙 的 控制 功能 再 强 ,也 不 能 完全 保护 内 部 网 络 。 

大 部 分 防火 墙 都 安装 在 一 般 的 操作 系统 上 ,在 防火 墙 主机 上 执行 的 除了 防火 墙 软件 外 ， 
所 有 的 程序 .系统 核心 ,也 大 多 来 自 于 操作 系统 本 身 的 原 有 程序 。 当 防火 墙 主机 上 所 执行 的 
软件 出 现 安全 漏洞 时 ,防火 墙 本 身 也 将 受到 威胁 。 此 时 ,任何 的 防火 墙 控制 机 制 都 可 能 失 
效 , 因 为 当 一 个 黑客 取得 了 防火 墙 上 的 控制 权 以 后 ,黑客 几乎 可 为 所 和 欲 为 地 修改 防火 墙 上 的 
访问 规则 ,进而 侵入 更 多 的 系统 。 因 此 防火 墙 自身 应 有 相当 高 的 安全 保护 。 

由 于 新 产品 的 出 现 , 就 会 有 人 研究 新 的 破解 方法 ,所 以 好 的 防火 墙 产品 应 拥有 完善 及 时 
的 售后 服务 体系 。 

最 后 ,需要 强调 的 是 ,虽然 防火 墙 在 当今 Internet. 上 的 存在 是 有 生命 力 的 ,但 它 不 能 替 
代 其 他 安全 措施 ,因此 , 它 不 是 解决 所 有 网 络 安全 问题 的 万 能 药方 ,只 是 网 络 安全 政策 和 策 
略 中 的 一 个 组 成 部 分 ,这 是 用 户 在 决定 购买 防火 墙 产品 之 前 就 应 该 明确 的 问题 。 


7.7 主流 防火 墙 产品 简介 


7.7.1 天 融 信 防火 墙 


网 络 卫士 NGFWARES 系列 防火 墙 产 品 ,是 天 融 信 公司 为 行业 分 支 机 构 、. 中 小 型 企业 、 
教育 行业 非 骨干 节点 院 校 ,单位 内 部 的 部 门 级 等 中 小 用 户 开发 的 高 性 价 比 的 安全 平台 

网 络 卫 士 NGFWARES 系列 防火 墙 产品 既 提 供 1U 可 上 机 架 的 产品 ,也 提供 小 巧 的 桌 
面 型 产品 ,具有 灵活 的 配置 向 导 。 

网 络 卫士 防火 墙 提供 了 强大 的 网 络 应 用 控制 功能 。 用 户 可 以 轻松 地 针对 一 些 典型 网 络 
应 用 ,如 MSN, QQ, Skype, 新浪 UC, ln H HERE, Google Talk 等 即时 通信 应 用 ,以 及 BT. 
Edonkey, Emule, WE SE P2P 应 用 实行 灵活 的 访问 控制 策略 ,如 禁止 .限时 和 流量 控制 。 网 
络 卫 士 防火 墙 还 提供 了 定制 功能 ,可 以 对 用 户 所 关心 的 网 络 应 用 进行 全 面 控制 。 

将 防火 墙 ` VPN .身份 认证 IDS 等 安全 特性 充分 融合 优化 ,并 提供 交换 、 路 由 、 组 播 、 
NAT.DHCP 等 多 种 特性 。 成 为 集 路 由 交换 ,语音 支持 的 多 功能 的 安全 网 关 。 

支持 LAN、ADSL、CABLE、 电 力 、 小 区 宽带 等 多 种 接 入 方式 ,并 支持 链 路 备份 .多 路 径 
均衡 。 

提供 串口 .Web、SSH 和 Telnet 等 多 种 管理 方式 ,配置 简单 。 

支持 IPSEC VPN,PPTP,L2TP 等 多 种 VPN 接 入 ,支持 VPN 集中 管理 。 


7.7.2 联想 防火 墙 


网 御 强 五 (power v) 系 列 防火 墙 作为 联想 网 御 的 主流 防火 墙 机 型 。 网 御 强 五 防火 墙 在 
支持 状态 检测 、 地 址 转换 、 虚 拟 主机 、 端 口 映 射 连 接 状 态 监控 ,与 人 侵 检测 系统 联动 、 双 机 热 
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备 、 负 载 均衡 . 抗 攻击 能 力 、 宽 带 管理 .P2P 应 用 的 控制 ,深度 过 滤 、 网 络 多 链 路 和 对 VOIP 的 
支持 等 方面 均 达 到 了 一 个 新 的 高 度 。 

下 面 介 绍 网 御 强 五 的 功能 。 

CD 状态 检测 : 针对 ACP/IP 协议 的 TCP/UDP/ICMP 数据 包 , 实 现 完整 的 状态 包 过 
滤 , 完 全 达到 GB/T-18019《 包 过 滤 防 火 墙 技 术 要 求 ) 的 要 求 。 

(2) 动态 智能 过 滤 : 针对 动态 协议 (包括 但 不 限于 H. 323. FTP, TFTP, Oracle TNS, 
SIP 等 通信 协议 ) ,提供 基于 协议 分 析 的 智能 化 动态 过 滤 包 功能 ,根据 需要 实时 开 闭 应 用 程 
序 动态 协商 的 TCP/UDP 端口 。 地 址 转换 : 支持 针对 数据 包 的 地 址 转换 ;支持 动态 .静态 地 
址 转换 ;支持 双向 地 址 转换 ;支持 基于 下 一 跳 路 由 的 地 址 转换 ;支持 源 地 址 .目的 地 址 、 源 地 
址 和 目的 地 址 同时 转换 。 

G) 应 用 代理 : 提供 基于 TCP 的 HTTP 代理 .SMTP 代理 ,FTP (C30, Telnet 代理 、 
POP3 代理 ;支持 在 透明 代理 下 基于 各 协议 的 内 容 过 滤 ; 针 对 HTTP, 支 持 对 网 页 中 的 Java, 
JavaScript, Active X 进行 过 滤 。 连接 管理 : 提供 连接 状态 监控 功能 ,可 以 以 IP 地 址 为 对 象 ， 
实时 地 监视 和 控制 内 网 连接 状态 的 流量 情况 ,并 根据 安全 策略 的 需要 ,确定 不 同 IP 地 址 的 
连接 数 上 限 。 

(4) 用 户 认证 : 支持 网 络 协 议 层 用 户 认证 ,可 以 为 包 过 滤 、 双 向 NAT., 代 理 等 访问 控制 
提供 用 户 认证 等 功能 。 

C 宽带 管理 : 宽带 管理 支持 基于 源 IP 地 址 、 目 的 地 址 、 服 务 ,接口 的 宽带 管理 ;支持 针 
对 P2P 过 滤 (BT 过 滤 、Emule,Edonkey 过 滤 ) 的 宽带 管理 。 

(6) 地 址 绑 定 : 提供 IP/MAC 地 址 绑 定 检查 功能 .可 有 效 解决 网 络 管理 中 IP 地 址 被 资 
用 问题 ;提供 IP/MAC 自动 检测 功能 ; 抗 DOS 攻击 : 可 以 防范 syn_flood, Ping Flood, UDP 
Flood、Teardrop、Sweep、Land、Ping of Death, Smurf, ff Hr Y ii , WINNUKE , 2 iE fu] nc id; SE 
多 种 类 病毒 的 攻击 。 

(7) 入 侵 检测 : 内 置 入 侵 检测 模块 ;可 选择 配置 不 同类 别 的 攻击 特征 码 ; 可 根据 用 户 需 
求 有 偿 提供 攻击 特征 码 的 升级 和 特征 码 的 自 定 义 。 

(8) 双 机 热 备 : 支持 双 机 热 备 工作 模式 , 热 备 响应 时 间 小 于 1 秒 。 

(9) 路 由 支持 : 支持 多 默认 路 由 均衡 ;支持 默认 路 由 的 监控 ;支持 静态 路 由 ,可 以 手工 
配置 基于 目的 地 址 的 静态 路 由 ,输入 信息 包括 网 络 地 址 、. 掩 码 地 址 .下 一 跳 地 址 与 网 络 接口 。 

(10) 集中 安全 管理 : 提供 远程 和 本 地 集中 管理 .升级 和 配置 功能 ;提供 中 文 Web 界面 
和 专业 化 的 命令 行 界面 管理 方式 ;提供 专用 带 外 管理 口 。 支 持 SNMP v1/v2/v3, 可 以 与 网 
御 Leadsec Manager 安全 管理 系统 无 颖 联动 (集中 管理 .设备 监控 和 事件 审计 ) 。 

QD 日 志 审 计 : 强大 的 日 志 审计 功能 提供 对 防火 墙 系统 事件 和 网 络 事件 的 统计 、 查 
询 、 分 析 。 

(12) 工作 模式 : 支持 路 由 .NAT 和 透明 工作 模式 ,支持 混合 工作 模式 。 

(13) 访问 控制 : 提供 基于 IP 地 址 .端口 和 时 间 的 访问 控制 功能 。 

(14) Vlan 支持 : 支持 IEEE 802. 1q 协议 ;支持 VLAN Trunk 协议 ;支持 VTP 链 路 聚 
合 协议 STP 协议 和 BPDU 协议 。 可 控制 VLAN 间 的 互 访 ;在 路 由 模式 和 桥 模块 下 均 支 持 
VLAN 间 路 由 ;支持 X. 509v3 数字 证 书 , 采 用 证 书 预 置 方式 。 

(15) 链 路 备份 与 链 路 聚合 : 支持 物理 端口 拥 绑 组 成 虚拟 的 宛 余 端 口 :支持 链 路 备份 ; 
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支持 HA 工作 下 的 链 路 备份 。 

(16) 支持 链 路 聚合 ( 链 路 负载 均衡 ) : 通过 捆绑 多 个 物理 端口 到 宛 余 端 口 可 以 使 防火 
墙 提 供 更 大 的 宽带 。 基 于 通用 安全 平台 (VSP) ,具备 高 效 、 智 能 、 安 全 ,健壮 、 易 扩展 等 特点 。 
支持 3DES、DES 及 国 密 办 指定 的 SSF33( 商 密 ) 等 加 密 算法 。 集 成 基于 USE 统一 安全 引擎 
的 IDS, 具 备 1600 种 以 上 的 特征 库 。 支 持 管理 .联动 .审计 于 一 体 的 完备 的 关联 安全 标准 
(CSC) ,可 实现 防火 墙 与 IDS IPS .内 网 安全 管理 系统 、 安 全 管理 系统 之 间 的 联动 。 支 持 多 
重 宛 余 协 议 (MRP) ,实现 多 端口 聚合 , 且 支 持 链 路 元 余 和 链 路 聚合 ,实现 零 成 本 扩展 带宽 。 
支持 多 台 防 火 墙 的 多 机 热 备 ,支持 主 主 及 主 从 模式 ,支持 2 一 32 台 防 火 墙 的 多 机 集群 。 

特征 与 优势 : 智能 的 VSP 通用 安全 平台 、 高 效 的 USE 统一 安全 引擎 .高 可 靠 的 MRP 
多 重 宛 余 协议 ,完全 内 容 过 滤 防 火 墙 。 


7.7.3 瑞星 防火 墙 


瑞星 个 人 防火 墙 2010 是 瑞星 公司 推出 的 防火 墙 产品 。 该 产品 具有 以 下 特点 : 

(1) 网 络 攻击 拦截 ,阻止 黑客 攻击 系统 对 用 户 造成 的 危险 。 

(2) 出 站 攻击 防御 ,最 大 程度 解决 肉鸡 "和 * 网 络 僵尸 "对 网 络 造成 的 安全 威胁 。 

(3) 恶意 网 址 拦截 ,保护 用 户 在 访问 网 页 时 ,不 被 病毒 及 钓鱼 网 页 侵害 。 

(4) 可 以 工作 在 交易 模式 下 ,适用 于 用 户 进行 炒股 、 网 银 交 易 、 网 上 购物 时 的 安全 要 求 。 

C) 具有 “ 云 安 全 ”(Cloud Security) 计 划 ,与 全 球 瑞星 用 户 组 成 立体 监测 防御 体系 ,最 
快速 度 发 现 安全 威胁 ,解决 安全 问题 ,共享 安全 成 果 。 


7.7.4 360 ARP 防火 墙 


360 安全 卫士 已 经 集成 了 ARP 防火 墙 , 可 以 在 360 安全 卫士 360 实时 保护 一 功能 设 
TL— ARP 防火 墙 中 进行 相关 设置 ,如 图 7-7 所 示 。 


5 360 实 时 保护 EGEJ 
aum» | em | nemi SEAE KHRIP E 
功能 设置 
保护 中 的 网 关 : 192.169.1.1 00-21-27-13-F7-78 
FAS 
€) ttam FEROE 县 查看 线 定 状 态 | | 名 FHNEAX 
同 防 火 培 
网 关 /nms 保 护 设置 
arrais » | 
G Bem C 手工 指定 网 关 /Ds 
保护 360 安 全 卫士 
dad 
380 主 动 防 逢 服务 G BRN PESEB, BIBER 
CORSEm 。 防御 速度 [ 5 (个 / 秒 ) 范围 1-50 
c inm 
PEREZ 白 名 单 设置 
网 拦 区 外 部 AP 攻击 后 拦 基 本 机 对 外 AEP ERIS 
BRRR SUR TX DR UdÉrm 
FROPMERBDHSEGERHET F PHESDUUMIPEGERHET [V 拦 芝 到 IT 种 实时 提示 
[rj 


图 7-7 360 ARP 防火 墙 设置 
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360 ARP 防火 墙 通过 在 系统 内 核 层 拦截 ARP 攻击 数据 包 , 确 保 网 关 正 确 的 MAC 地 址 
不 被 自 改 ,可 以 保障 数据 流向 正确 ,不 经 过 第 三 者 ,从 而 保证 通信 数据 安全 、 保 证 网 络 畅通 、 
保证 通信 数据 不 受 第 三 者 控制 ,完美 地 解决 局 域 网 内 ARP 攻击 问题 。 

在 系统 内 核 层 拦截 外 部 ARP 攻击 数据 包 , 保 障 系统 不 受 ARP 欺骗 .ARP 攻击 影响 , 保 
持 网 络 畅通 及 通信 安全 采用 内 核 拦截 技术 ,本 机 运行 速度 不 受 任何 影响 。 

发 现 攻击 行为 后 ,自动 定位 到 攻击 者 IP 地 址 和 攻击 机 器 名 (有 些 网 络 条 件 下 可 能 获取 
不 成 功 ) 。 

具有 ARP 缓存 保护 ,防止 恶意 攻击 程序 自 改 本 机 ARP 缓存 。 


7.8 防火 墙 发 展 动态 与 趋势 


1. 防火 墙 技术 发 展 概述 

传统 的 防火 墙 通常 是 基于 访问 控制 列表 (ACL) 进 行 包 过 滤 的 ,位 于 在 内 部 专用 网 的 入 
口 处 ,所 以 也 俗称 “边界 防火 墙 "。 随 着 防火 墙 技术 的 发 展 ,防火 墙 技术 也 得 到 了 发 展 ,出 现 
了 一 些 新 的 防火 墙 技 术 , 如 电路 级 网 关 技 术 、 应 用 网 关 技术 和 动态 包 过 滤 技 术 , 在 实际 运用 
中 ,这 些 技术 差别 非常 大 ,有 的 工作 在 OSI 参考 模式 的 网 络 层 , 有 的 工作 在 传输 层 , 还 有 的 
工作 在 应 用 层 。 

在 这 些 已 出 现 的 防火 墙 技术 中 ,静态 包 过 滤 是 最 差 的 安全 解决 方案 ,其 应 用 存在 着 一 些 
不 可 克服 的 限制 ,最 明显 的 表现 就 是 不 能 检测 出 基于 用 户 身份 的 地 址 欺骗 型 数据 包 ,并且 很 
容易 受到 诸如 DoS( 拒 绝 服务 ) IP 地 址 欺诈 等 黑客 攻击 。 现 在 已 基本 上 没有 防火 墙 厂商 单 
独 使 用 这 种 技术 。 应 用 层 网 关 和 电路 级 网 关 是 比较 好 的 安全 解决 方案 ,它们 在 应 用 层 检 查 
数据 包 。 但 是 ,我 们 不 可 能 对 每 一 个 应 用 都 运行 这 样 一 个 代理 服务 器 ,而 且 部 分 应 用 网 关 技术 
还 要 求 客户 端 安装 有 特殊 的 软件 。 这 两 种 解决 方案 在 性 能 上 也 有 很 大 的 不 足 之 处 。 动 态 包 过 
滤 是 基于 连接 状态 对 数据 包 进 行 检查 ,由 于 动态 包 过 滤 解 决 了 静态 包 过 滤 的 安全 限制 ,并 且 比 
代理 技术 在 性 能 上 有 了 很 大 的 改善 ,因而 目前 大 多 数 防 火 墙 厂商 都 采用 这 种 技术 。 但 是 随 着 
主动 攻击 的 增多 ,状态 包 过 滤 技 术 也 面临 着 巨大 的 挑战 ,更 需要 其 他 新 技术 的 辅助 。 

除了 访问 控制 功能 外 ,现在 大 多 数 的 防火 墙 制造 商 在 自己 的 设备 上 还 集成 了 其 他 的 安 
全 技术 ,如 NAT 和 VPN ,病毒 防护 等 。 

2. 防火 墙 未 来 的 技术 发 展 趋势 

随 着 新 的 网 络 攻击 的 出 现 ,防火 墙 技术 也 有 一 些 新 的 发 展 趋势 。 这 主要 可 以 从 包 过 滤 
技术 .防火 墙 体系 结构 和 防火 墙 系统 管理 三 方面 来 体现 。 

O) 防火 墙 包 过 滤 技 术 发 展 趋势 

一 些 防火 墙 厂 商 把 在 AAA 系统 上 运用 的 用 户 认 证 及 其 服务 扩展 到 防火 墙 中 ,使 其 拥 
有 可 以 支持 基于 用 户 角 色 的 安全 策略 功能 。 该 功能 在 无 线 网 络 应 用 中 非常 必要 。 具 有 用 户 
身份 验证 的 防火 墙 通常 是 采用 应 用 级 网 关 技 术 的 , 包 过 滤 技术 的 防火 墙 不 具有 。 用 户 身 份 
验证 功能 越 强 , 它 的 安全 级 别 越 高 ,但 它 给 网 络 通信 带 来 的 负面 影响 也 越 大 ,因为 用 户 身 份 
验证 需要 时 间 ,特别 是 加 密 型 的 用 户 身 份 验证 。 

(2) 多 级 过 滤 技 术 

多 级 过 滤 技 术 是 指 防 火 墙 采用 多 级 过 滤 措 施 , 并 辅 以 鉴别 手段 。 在 分 组 过 滤 ( 网 络 层 ) 
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一 级 ,过 滤 掉 所 有 的 源 路 由 分 组 和 假冒 的 IP 源 地 址 ;在 传输 层 一 级 ,遵循 过 滤 规 则 ,过 滤 掉 
所 有 禁止 出 /入 的 协议 和 有 害 数 据 包 (如 nuke 包 、 圣 诞 树 包 等 ); 在 应 用 网 关 ( 应 用 层 ) 一 级 ， 
能 利用 FTP、SMTP 等 各 种 网 关 , 控 制 和 监测 Internet 提供 的 所 用 通用 服务 。 这 是 针对 以 
上 各 种 已 有 防火 墙 技术 的 不 足 而 产生 的 一 种 综合 型 过 滤 技 术 , 它 可 以 弥补 以 上 各 种 单独 过 
滤 技术 的 不 足 。 

这 种 过 滤 技 术 在 分 层 上 非常 清楚 ,每 种 过 滤 技 术 对 应 于 不 同 的 网 络 层 , 从 这 个 概念 出 
发 ,又 有 很 多 内 容 可 以 扩展 ,为 将 来 的 防火 墙 技术 发 展 打下 基础 。 

(3) 使 防火 墙 具 有 病毒 防护 功能 。 现 在 通常 被 称 之 为 “病毒 防火 墙 > ,当然 目前 主要 还 
是 在 个 人 防火 墙 中 体现 ,因为 它 是 纯 软 件 形 式 ,更 容易 实现 。 这 种 防火 墙 技术 可 以 有 效 地 防 
止 病毒 在 网 络 中 的 传播 , 比 等 待 攻击 的 发 生 更 加 积极 。 拥 有 病毒 防护 功能 的 防火 墙 可 以 大 
大 减少 公司 的 损失 。 

3. 防火 墙 的 体系 结构 发 展 趋势 

随 着 网 络 应 用 的 增加 ,对 网 络 带宽 提出 了 更 高 的 要 求 。 这 意味 着 防火 墙 要 能 够 以 非常 
高 的 速率 处 理 数 据 。 另 外 ,在 以 后 几 年 里 ,多 媒体 应 用 将 会 越 来 越 普遍 , 它 要 求 数据 穿 过 防 
火 墙 所 带 来 的 延迟 要 足够 小 。 为 了 满足 这 种 需要 ,一 些 防火 墙 制造 商 开 发 了 基于 ASIC 的 
防火 墙 和 基于 网 络 处 理 器 的 防火 墙 。 从 执行 速度 的 角度 看 来 ,基于 网 络 处 理 器 的 防火 墙 也 
是 基于 软件 的 解决 方案 , 它 需 要 在 很 大 程度 上 依赖 于 软件 的 性 能 ,但 是 由 于 这 类 防火 墙 中 有 
一 些 专门 用 于 处 理 数据 层面 任务 的 引擎 ,从 而 减轻 了 CPU 的 负担 ,该 类 防火 墙 的 性 能 要 比 
传统 防火 墙 的 性 能 好 许多 。 

与 基于 ASIC 的 纯 硬 件 防 火 墙 相 比 ,基于 网 络 处 理 器 的 防火 墙 具 有 软件 色彩 ,因而 更 
加 具有 灵活 性 。 基 于 ASIC 的 防火 墙 使 用 专门 的 硬件 处 理 网 络 数据 流 , 比 起 前 两 种 类 型 
的 防火 墙 具 有 更 好 的 性 能 。 但 是 纯 硬 件 的 ASIC 防火 墙 缺 乏 可 编程 性 ,这 就 使 得 它 缺 乏 
灵活 性 ,从 而 跟 不 上 防火 墙 功能 的 快速 发 展 。 理 想 的 解决 方案 是 增加 ASIC 芯片 的 可 编 
程 性 ,使 其 与 软件 更 好 地 配合 。 这 样 的 防火 墙 就 可 以 同时 满足 来 自 灵活 性 和 运行 性 能 的 
要 求 。 

首 信 CF-2000 系列 EP-600 和 CG-600 高 端 千 兆 防 火 墙 即 采用 了 功能 强大 的 可 编程 
专 有 ASIC 芯片 作为 专门 的 安全 引擎 ,很 好 地 兼顾 了 灵活 性 和 性 能 的 需要 。 它 们 可 以 线 
速 处 理 网 络 流量 ,而 且 其 性 能 不 受 连接 数目 、 包 大 小 以 及 采用 何 种 策略 的 影响 。 该 款 防 
火 墙 支持 QoS, 所 造成 的 延迟 可 以 达到 微 秒 量 级 ,可 以 满足 各 种 交互 式 多 媒体 应 用 的 要 
求 。 浙 大 网 新 也 在 杭州 正式 发 布 三 款 基于 ASIC 芯片 的 网 新 易 尚 千 兆 系列 网 关 防 火 墙 ， 
据 称 ,其 ES4000 防火 墙 速度 达到 4Gbps. 3DES 速度 可 达 600Mbps。 易 尚 系列 千 兆 防火 
墙 还 采用 了 最 新 的 安全 网 关 概 念 , 集 成 了 防火 墙 `VPN IDS、 防 病毒 .内 容 过 滤 和 流量 控 
制 等 多 项 功能 。 

4. 防火 墙 的 系统 管理 发 展 趋势 

防火 墙 的 系统 管理 也 有 一 些 发 展 趋 势 , 主 要 体现 在 以 下 几 个 方面 : 

(1) 首先 是 集中 式 管理 ,分 布 式 和 分 层 的 安全 结构 是 将 来 的 趋势 。 集 中 式 管理 可 以 降 
低 管理 成 本 .并 保证 在 大 型 网 络 中 安全 策略 的 一 致 性 。 快 速 响应 和 快速 防御 也 要 求 采用 集 
中 式 管 理 系统 。 目 前 这 种 分 布 式 防火 墙 早已 在 Cisco( 思 科 )、3Com 等 大 的 网 络 设备 开发 商 
中 开发 成 功 ,也 就 是 目前 所 称 的 “分 布 式 防火 墙 " 和 “嵌入 式 防 火 墙 "。 关 于 这 一 新 技术 后 面 
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将 详细 介绍 。 

(2) 强大 的 审计 功能 和 自动 日 志 分 析 功 能 。 这 两 点 的 应 用 可 以 更 早 地 发 现 潜在 的 威胁 
并 预防 攻击 的 发 生 。 日 志 功 能 还 可 以 对 管理 员 有 效 地 发 现 系 统 中 存 的 安全 漏洞 ,及 时 地 调 
整 安全 策略 等 各 方面 管理 具有 非常 大 的 帮助 。 不 过 具有 这 种 功能 的 防火 墙 通常 是 比较 高 级 
的 ,早期 的 静态 包 过 滤 防 火 墙 是 不 具有 的 。 

(3) 网 络 安全 产品 的 系统 化 。 随 着 网 络 安全 技术 的 发 展 ,现在 有 一 种 提 法 ,叫做 “建立 
以 防火 墙 为 核心 的 网 络 安全 体系 ”。 因 为 我 们 在 现实 中 发 现 , 仅 现 有 的 防火 墙 技术 难以 满足 
当前 网 络 安全 需求 。 通 过 建立 一 个 以 防火 墙 为 核心 的 安全 体系 ,就 可 以 为 内 部 网 络 系统 部 
署 多 道 安 全 防线 ,各 种 安全 技术 各 司 其 职 , 从 各 方面 防御 外 来 人 侵 。 

如 现在 的 IDS 设备 就 能 很 好 地 与 防火 墙 一 起 联合 。 一 般 情 况 下 ,为 了 确保 系统 的 通信 
性 能 不 受 安全 设备 的 影响 太 大 ,IDS 设备 不 能 像 防 火 墙 一 样 置 于 网 络 入 口 处 ,只 能 置 于 旁 路 
位 置 。 而 在 实际 使 用 中 ,IDS 的 任务 往往 不 仅 在 于 检测 ,很 多 时 候 在 IDS 发 现 人 侵 行 为 以 
后 ,也 需要 IDS 本 身 对 入 侵 及 时 遏止 。 显 然 , 要 让 处 于 旁 路 侦 听 的 IDS 完成 这 个 任务 又 太 
困难 ,同时 主 链 路 又 不 能 串 接 太 多 类 似 设 备 。 在 这 种 情况 下 ,如果 防 火 墙 能 和 IDS, 病 毒 检 
测 等 相关 安全 产品 联合 起 来 ,充分 发 挥 各 自 的 长 处 ,协同 配合 ,共同 建立 一 个 有 效 的 安全 防 
范 体系 ,那么 系统 网 络 的 安全 性 就 能 得 以 明显 提升 。 

目前 主要 有 两 种 解决 办 法 : 一 种 是 直接 把 IDS、 病 毒 检 测 部 分 直接 “做 ?到 防火 墙 中 ,使 
防火 墙 具 有 IDS 和 病毒 检测 设备 的 功能 ; 另 一 种 是 各 个 产品 分 立 , 通 过 某 种 通信 方式 形成 
一 个 整体 ,一旦 发 现 安全 事件 , 则 立即 通知 防火 墙 ,由 防火 墙 完成 过 滤 和 报告 。 目 前 更 看 重 
后 一 种 方案 ,因为 它 实现 方式 较 前 一 种 容易 许多 。 

5. 分 布 式 防火 墙 技术 

在 前 面 已 提 到 一 种 新 的 防火 墙 技 术 , 即 分 布 式 防火 墙 技 术 已 在 逐渐 兴起 ,并 在 国外 一 些 
大 的 网 络 设备 开发 商 中 得 到 了 实现 ,由 于 其 优越 的 安全 防护 体系 ,符合 未 来 的 发 展 趋势 ,所 
以 这 一 技术 一 出 现 便 得 到 许多 用 户 的 认可 和 接受 。 下 面 就 来 介绍 一 下 这 种 新 型 的 防火 墙 
技术 。 

因为 传统 的 防火 墙 设置 在 网 络 边 界 , 处 于 内 、 外 部 互联 网 之 间 , 所 以 称 为 * 边 界 防火 墙 
(perimeter firewall)”。 随 着 人 们 对 网 络 安全 防护 要 求 的 提高 ,边界 防火 墙 明 显 感觉 到 力 不 
从 心 , 因 为 给 网 络 带 来 安全 威胁 的 不 仅 是 外 部 网 络 ,更 多 的 是 来 自 内 部 网 络 。 但 边界 防火 墙 
无 法 对 内 部 网 络 实现 有 效 地 保护 ,除非 对 每 一 台 主 机 都 安装 防火 墙 ,这 是 不 可 能 的 。 基 于 
此 ,一 种 新 型 的 防火 墙 技术 ,分布 式 防火 墙 Cdistributed firewalls) 技 术 产生 了 。 它 可 以 很 好 
地 解决 边界 防火 墙 以 上 的 不 足 , 当 然 不 是 为 每 对 路 主机 安装 防火 墙 , 而 是 把 防火 墙 的 安全 防 
护 系 统 延 伸 到 网 络 中 各 台 主 机 。 一 方面 有 效 地 保证 了 用 户 的 投资 不 会 很 高 , 另 一 方面 给 网 
络 所 带 来 的 安全 防护 是 非常 全 面 的 。 

我 们 都 知道 ,传统 边界 防火 墙 用 于 限制 被 保护 企业 内 部 网 络 与 外 部 网 络 ( 通 常 是 互联 
网 ) 之 间 相 互 进 行 信息 存 取 ,传递 操作 , 它 所 处 的 位 置 在 内 部 网 络 与 外 部 网 络 之 间 。 实 际 上 ， 
所 有 以 前 出 现 的 各 种 不 同类 型 的 防火 墙 , 从 简单 的 包 过 滤 在 应 用 层 代理 以 至 自 适应 代理 ,都 
是 基于 一 个 共同 的 假设 , 那 就 是 防火 墙 把 内 部 网 络 一 端的 用 户 看 成 是 可 信任 的 ,而 外 部 网 络 
一 端的 用 户 则 都 被 作为 潜在 的 攻击 者 来 对 待 。 而 分 布 式 防火 墙 是 一 种 主机 驻 留 式 的 安全 系 
统 , 它 是 以 主机 为 保护 对 象 , 它 的 设计 理念 是 主机 以 外 的 任何 用 户 访问 都 是 不 可 信任 的 ,都 
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需要 进行 过 滤 。 当 然 在 实际 应 用 中 ,也 不 是 要 求 对 网 络 中 每 对 台 主 机 都 安装 这 样 的 系统 ,这 
样 会 严重 影响 网 络 的 通信 性 能 。 它 通常 用 于 保护 企业 网 络 中 的 关键 节点 服务 器 数据 及 工 
作 站 免 受 非法 入 侵 的 破坏 。 

分 布 式 防火 墙 负责 对 网 络 边 界 .各 子 网 和 网 络 内 部 各 节点 之 间 的 安全 防护 ,所 以 “分 布 
式 防火 墙 ? 是 一 个 完整 的 系统 ,而 不 是 单一 的 产品 。 


7.9 防火 墙 部 署 实例 


7.9.1. 某 校园 网 防火 墙 部 署 


某 大 学 已 经 实现 校园 内 计算 机 连 网 \ 信 息 资源 共享 ,并 通过 CERNET 与 Internet 互联 。 
校园 网 现 有 连 网 节点 900 多 个 。 网 络 结构 : 建筑 物 之 间 采 用 光纤 连接 ,电教 楼 为 中 心 点 ,向 
校内 其 他 建筑 物 辐射 ;楼 内 水 平 线 缆 采 用 五 类 屏蔽 双 绞 线 。 中 心 交 换 机 采用 Cisco 路 由 交 
换 机 ;二 级 交换 机 为 Cisco 路 由 交换 机 。 

1. 安全 隐患 

经 检查 ,该 校 校园 网 安全 隐患 有 

。 校园 网 通过 CERNET 与 Internet 相连 ,有 可 能 面临 着 遭遇 攻击 的 风险 。 

。 校园 网 内 部 存在 很 大 的 安全 隐患 。 由 于 内 部 用 户 对 网 络 的 结构 和 应 用 模式 都 比较 
了 解 ,因此 来 自 内 部 的 安全 威胁 会 更 大 一 些 。 
目前 使 用 的 操作 系统 存在 安全 漏洞 ,对 网 络 安全 构成 了 威胁 。 中 央 财 经 大 学 的 网 络 
服务 器 安装 的 操作 系统 有 Windows NT/2000, UNIX, Linux 等 ,这 些 系统 安全 风险 
级 别 不 同 , 例 如 Windows NT/2000 的 普遍 性 和 可 操作 性 使 它 成 为 最 不 安全 的 系 
统 : 自身 安全 漏洞 .浏览 器 的 漏洞 .IIS 的 漏洞 .病毒 的 温床 等 ;UNIX 由 于 技术 的 复 
杂 性 导致 高 级 黑客 对 其 进行 攻击 : 自身 安全 漏洞 (RIP 路 由 转移 等 )、 服 务 安全 漏 

。 随 着 校园 内 计算 机 应 用 的 大 范围 普及 , 接 入 校园 网 的 节点 数 日 益 增 多 ,而 这 些 节 点 

大 部 分 都 没有 采取 安全 防护 措施 ,随时 有 可 能 造成 病毒 泛滥 、 信 息 丢 失 、 数 据 损坏 、 
网 络 被 攻击 、 系 统 瘫痪 等 严重 后 果 。 

由 此 可 见 , 构 筑 具有 必要 的 信息 安全 防护 体系 、 建 立 一 套 有 效 的 网 络 安全 机 制 显得 尤其 
重要 。 

2. 解决 方案 

根据 中 央 财 经 大 学 校园 网 的 结构 特点 及 面临 的 安全 隐患 ,我 们 在 广泛 征集 各 方 意见 , 细 
心 比较 的 基础 上 ,决定 采用 北京 瑞星 公司 设计 的 校园 网 络 安全 体系 方案 。 该 方案 确定 了 以 
下 几 个 必须 考虑 的 安全 防护 要 点 : 网 络 安全 隔离 .网络 监 控 措 施 、 网 络 安全 漏洞 .网络 病毒 
的 防范 。 

3. 防火 墙 的 部 署 

在 Internet 与 校园 网 内 网 之 间 部 署 了 一 台 瑞 星 RFW-100 防火 墙 ,在 内 外 网 之 间 建 立 一 
道 牢 固 的 安全 屏障 。 其 中 WWW、E-mail、.FTP、DNS 服务 器 连接 在 防火 墙 的 DMZ 区 ( 即 
“ 非 军事 区 ”, 是 为 不 信任 系统 提供 服务 的 孤立 网 段 , 它 阻止 内 网 和 外 网 直接 通信 ,以 保证 内 
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网 安全 ) ,与 内 、 外 网 间 进 行 隔离 .内 网 口 连 接 校园 网 内 网 交换 机 ,外 网 口 通过 路 由 器 与 
Internet 连接 。 这 样 ,通过 Internet 进来 的 外 网 用 户 只 能 访问 到 对 外 公开 的 一 些 服 务 ( 如 
WWW E-mail, FTP,DNS 等 ), 既 保护 内 网 资源 不 被 外 部 非 授 权 用 户 非法 访问 或 破坏 ,也 可 
以 阻止 内 部 用 户 对 外 部 不 良 资源 的 使 用 ,并 能 够 对 发 生 在 网 络 中 的 安全 事件 进行 跟踪 和 
审计 。 

在 防火 墙 设 置 上 按照 以 下 原则 配置 来 提高 网 络 安全 性 : 

(1) 根据 校园 网 安全 策略 和 安全 目标 ,规划 设置 正确 的 安全 过 滤 规则 ,规则 审核 IP 数 
据 包 的 内 容 , 包 括 协议 、 端 口 、 源 地 址 、 目 的 地 址 、 流 向 等 项 目 , 严 格 禁止 来 自 外 网 的 对 校园 内 
网 的 不 必要 的 ,非法 的 访问 。 总 体 上 遵从 “不 被 允许 的 服务 就 是 被 禁止 "的 原则 。 

(2) 配置 防火 墙 ,过 滤 掉 以 内 部 网 络 地 址 进入 路 由 器 的 IP 包 , 这 样 可 以 防范 源 地 址 假 
冒 和 源 路 由 类 型 的 攻击 :过滤 掉 以 非 法 IP 地 址 离开 内 部 网 络 的 IP 包 , 防 止 内 部 网 络 发 起 的 
对 外 的 攻击 。 

G) 在 防火 墙 上 建立 内 网 计算 机 的 TP 地 址 和 MAC 地 址 的 对 应 表 , 防 止 TP 地 址 被 
盗用 。 

(4) 定期 查看 防火 墙 访问 日 志 , 及 时 发 现 攻 击 行为 和 不 良 的 上 网 记录 。 

(5) 人 允许 通过 配置 网 卡 对 防火 墙 设置 ,提高 防火 墙 管理 的 安全 性 。 


7.9.2. 某 公 司 网 络 防火 墙 部 署 


本 节 介绍 VigorPro 系列 防火 墙 路 由 器 配置 防火 墙 的 方法 。 

由 于 Internet 是 一 个 开放 式 的 网 络 ,导致 随 之 而 来 的 是 各 种 日 益 复 杂 类 型 的 攻击 , 包 
括 隐藏 在 网 络 流量 中 的 攻击 或 完全 绕 过 安全 性 防范 措施 的 攻击 ,以 及 肆 无 忌 尽 的 各 种 网 
络 病毒 ,都 极 有 可 能 扩散 到 公司 所 有 敏感 资源 ,造成 企业 网 络 机 密 的 泄漏 和 破坏 ,给 公司 
带 来 无 法 弥补 的 损失 。 另 外 ,如 果 用 户 在 未 经 授权 的 情况 下 ,盗用 上 网 权限 、 滥 用 网 络 资 
源 .访问 非法 网 站 等 行为 ,这 也 会 大 大 增加 网 络 安全 的 风险 ,造成 网 络 堵塞 .降低 了 工作 
效率 ,使 得 企业 网 络 维护 的 运行 成 本 随 之 增加 。 因 而 网 络 安全 问题 对 企业 来 说 越 来 越 
dE, 

对 于 企业 而 言 ,希望 能 够 迅速 识别 .控制 并 消除 攻击 和 病毒 ,以 确保 网 络 资源 不 会 受到 
影响 和 破坏 ,同时 也 对 内 网 的 安全 性 和 使 用 的 方便 性 提出 了 更 高 的 要 求 。 因 此 ,根据 企业 自 
身 网 络 安全 需求 选择 路 由 器 都 有 以 下 几 个 原则 : 

(1) 具有 高 吞吐 量 .稳定 性 强 

路 由 器 的 性 能 决定 了 路 由 器 的 工作 效率 ,也 决定 了 企业 在 建 网 时 所 考虑 的 数据 承载 量 
和 应 用 。 另 外 ,企业 考虑 路 由 器 高 性 能 的 同时 ,还 会 考虑 到 路 由 器 的 硬件 元 余 性 和 稳定 性 ， 
能 否 为 企业 网 络 系统 的 稳定 运行 提供 保障 。 

(2) 安全 性 、 可 靠 性 高 

企业 会 考虑 路 由 器 是 否 具 有 多 层次 的 安全 保护 措施 ,可 以 满足 用 户 身份 鉴别 .访问 控 
制 、 数 据 完 整 性 和 保密 性 传输 等 要 求 , 同 时 详细 的 故障 检测 和 应 急 处 理 方案 ,是 否 能 够 保证 
网 络 安全 的 稳定 性 和 可 靠 性 。 

(3) 实用 功能 多 .配置 操作 方便 

企业 会 考虑 路 由 器 是 否 采 用 成 熟 的 、 实 用 性 的 功能 和 技术 。 能 否 满足 现行 业务 的 管 
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理 , 又 能 适应 未 来 业务 发 展 的 要 求 。 同 时 还 会 考虑 设备 配置 操作 上 是 否 简单 易 懂 、 直 观 
方便 。 


7.9.3 某 餐 饮 企 业 防 火 墙 方案 


1. 客户 的 需求 

(1) 公司 员工 的 计算 机 均 能 实现 共享 宽带 上 网 ,内 网 服务 器 实现 外 网 端口 映射 ,包括 邮 
件 服务 器 .FTP 服务 器 。 使 外 部 的 员工 都 能 通过 公 网 实现 对 内 网 服务 器 的 访问 。 

(2) 内 部 服务 器 的 全 部 共享 资料 文件 及 数据 库 , 可 供 所 有 员工 使 用 。 

(3) 限制 部 分 员工 计算 机 访问 Internet, 从 而 确保 网 路 资源 的 有 效 利 用 ,并 且 保证 关键 
业务 的 正常 使 用 。 

2. 组 网 需求 及 选 型 

采用 H3C SecPath F100-S 作为 公司 内 网 的 出 口 ,为 内 网 用 户 提供 宽带 上 网 业务 。 并 且 
使 用 H3C SecPath F100-S 为 内 网 提供 路 由 ,并 且 采 用 H3C SecPath F100-S 防火 墙 特有 的 
安全 机 制 ,为 内 网 用 户 提供 一 个 安全 和 可 靠 的 网 络 环境 ,在 H3C SecPath F100-S 上 实现 服 
务 器 映射 ,确保 外 网 用 户 能 够 正常 使 用 内 网 的 服务 器 资源 。 

3. 实施 方法 

公司 使 用 固定 IP 地 址 接 入 。 通 过 使 用 NAT 技术 确保 内 网 用 户 可 以 正常 使 用 互联 网 ， 
启用 H3C SecPath F100-S 特有 的 包 过 滤 安 全 机 制 , 对 外 网 和 内 网 的 进出 口 流 量 进行 安全 过 
滤 。 使 用 H3C SecPath F100-S 端口 映射 技术 ,确保 服务 器 在 内 网 和 外 网 的 正常 使 用 ,使 用 
H3C SecPath F100-S ACL 限制 特定 的 员工 计算 机 接 人 Internet, 但 不 影响 这 些 用 户 内 网 业 
务 的 正常 使 用 。 

4. 方案 拓扑 图 

方案 拓扑 图 如 图 7-8 所 示 。 


Cm) 


防火 墙 F100-S 


核心 交换 机 LS-3600-28TP-SI <> 
> 


| 
接 入 层 交换 机 > 
LS-3100-26TP-SI 


图 7-8 方案 拓扑 图 


Do 


243 


网 络 安全 技术 


. 典型 的 防火 墙 具 有 哪 三 个 方面 的 基本 特征 ? 
. 什么 是 包 过 滤 技 术 ? 

. 什么 是 DMZ IX? 

. 简 述 天 网 防火 墙 的 规则 设置 。 

. 简 述 分 布 式 防火 墙 的 特点 。 

. 简 述 防火 墙 的 选 型 原则 。 

. 深度 包 过 滤 不 同 于 传统 包 过 滤 的 地 方 有 哪些 ? 


Boo 0o tt- 
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Internet 所 具有 的 开放 性 的 特点 ,使 得 网 络 安全 防护 的 方式 发 生 了 很 大 变化 ,传统 的 网 
络 强调 统一 而 集中 的 安全 管理 和 控制 ,可 采取 加 密 、 认 证 、 访 问 控制 .审计 以 及 日 志 等 多 种 技 
术 手 段 ,它们 的 实施 是 由 通信 双方 共同 完成 : 因为 Internet 结构 错综复杂 ,因此 安全 防护 方 
式 截然 不 同 。Internet 的 安全 技术 涉及 传统 的 网 络 安全 技术 和 分 布 式 网 络 安全 技术 ,主要 
是 解决 如 何 利用 Internet 进行 安全 通信 ,同时 保护 内 部 网 络 免 受 外 部 攻击 。 于 是 在 此 情况 
下 ,出现 了 防火 墙 和 入 侵 检测 技术 。 


8.1 入 侵 检 测 概述 


入 侵 是 所 有 试图 破坏 网 络 信息 的 完整 性 ,保密 性 、 可 用 性 、 可 信任 性 的 行为 。 入 侵 是 一 
个 广义 的 概念 ,不 仅 包括 发 起 攻击 的 人 取得 超出 合法 范围 的 系统 控制 权 , 也 包括 收集 漏洞 信 
息 ,造成 拒绝 服务 等 危害 计算 机 和 网 络 的 行为 。 

入 侵 检测 (intrusion detection) ,是 对 入 侵 行为 的 发 觉 , 它 通过 从 计算 机 网 络 或 系统 中 的 
若干 关键 点 收集 信息 ,并 对 这 些 信息 进行 分 析 , 从 而 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 
的 行为 和 遭 到 攻击 的 迹象 。 实 现 人 侵 检测 功能 的 软件 与 硬件 的 组 合 就 是 入侵 检测 系统 。 

入 侵 行 为 主要 有 以 下 几 种 : 

。 外 部 渗透 指 既 未 被 授权 使 用 计算 机 ,又 未 被 授权 使 用 数据 或 程序 资源 的 渗透 。 

。 内 部 渗透 指 虽 被 授权 使 用 计算 机 ,但 是 未 被 授权 使 用 数据 或 程序 资源 的 渗透 。 

。 不 法 使 用 指 利用 授权 使 用 计算 机 、 数 据 和 程序 资源 的 合法 用 户 身份 的 渗透 。 

这 几 种 人 侵 行 为 是 可 以 相互 转变 , 互 为 因果 的 。 例 如 ,入 侵 者 通过 外 部 渗透 获取 了 某 用 
户 的 账号 和 密码 ,然后 利用 该 用 户 的 账号 进行 内 部 渗透 :最 后 ,内 部 渗透 也 可 以 转变 为 不 法 
使 用 。 

一 个 安全 系统 至 少 应 该 满足 用 户 系统 的 保密 性 、 完 整 性 及 可 用 性 要 求 。 但 是 , 随 着 网 络 
连接 的 迅速 扩展 ,特别 是 Internet 大 范围 的 开放 以 及 金融 领域 网 络 的 接 入 , 越 来 越 多 的 系统 
遭 到 入 侵 攻击 的 威胁 。 这 些 威 胁 大 多 是 通过 挖掘 操作 系统 和 应 用 服务 程序 的 弱点 或 者 缺陷 
(bug) 来 实现 的 。 当 前 ,对 付 破坏 系统 企图 的 理想 方法 是 建立 一 个 完全 安全 系统 。 但 这 样 
的 话 , 就 要 求 所 有 的 用 户 能 识别 和 认证 自己 ,还 要 采用 各 种 各 样 的 加 密 技 术 和 强 访问 控制 策 
略 来 保护 数据 。 而 从 实际 上 看 ,这 根本 是 不 可 能 的 。 首 先 , 在 实践 当中 ,建立 完全 安全 系统 
根本 是 不 可 能 的 。 有 关 现 今 流行 的 操作 系统 和 应 用 程序 研究 报告 ,指出 软件 中 不 可 能 没有 
缺陷 ,此 外 ,设计 和 实现 一 个 整体 安全 系统 相当 困难 。 其 次 ,要 将 所 有 已 安装 的 带 安 全 缺陷 
的 系统 转换 成 安全 系统 需要 相当 长 的 时 间 。 第 三 ,加 密 技 术 方法 本 身 存在 的 一 定 问题 。 第 
四 ,安全 系统 易 受 内 部 用 户 滥用 特权 的 攻击 。 第 五 ,安全 访问 控制 等 级 和 用 户 的 使 用 效率 成 
反比 。 第 六 ,访问 控制 和 保护 模型 本 身 存 在 一 定 的 问题 。 第 七 ,在 软件 上 存在 软件 测试 不 充 
足 、 软 件 生命 周期 缩短 、 大 型 软件 复杂 性 等 难 解 问题 。 
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基于 上 述 几 类 问题 的 解决 难度 ,一 个 实用 的 方法 是 ,建立 比较 容易 实现 的 安全 系统 , 同 
时 按照 一 定 的 安全 策略 建立 相应 的 安全 辅助 系统 ,IDS 就 是 这 样 一 类 系统 。 现 在 安全 软件 
的 开发 方式 本 上 就 是 按照 这 个 思路 进行 的 。 就 目前 系统 安全 状况 而 言 , 系 统 存在 被 攻击 的 
可 能 性 。 如 果 系 统 遭 到 攻击 ,只 有 尽 可 能 地 检测 到 ,甚至 是 实时 地 检测 到 ,然后 采取 适当 的 
处 理 措施 。IDS 一 般 不 是 采取 预防 的 措施 以 防止 入 侵 事 件 的 发 生 , 入 侵 检测 作为 安全 技术 
其 作用 在 于 : 
。 识别 人 侵 者 。 
。 识别 人 侵 行为 。 
。 检测 和 监视 已 成 功 的 安全 突破 。 
。 为 对 抗 人 侵 及 时 提供 重要 信息 ,阻止 事件 的 发 生 和 事态 的 扩大 。 
尽管 防火 墙 和 日 志 非 常 重 要 ,但 是 防火 墙 是 指 设置 在 不 同 网 络 ( 内 部 网 和 公共 网 ) 或 不 
同 的 网 络 安全 域 之 间 的 设备 , 它 可 以 负责 过 滤 、 限 制 和 分 析 ,能 完成 安全 控制 .监控 和 管理 的 
功能 ,但 是 如 果 和 人 侵 已 经 发 生 ,防火 墙 就 失去 了 功效 ,日 志 本 身 除 了 犯罪 现场 的 证 据 。 用 户 
所 能 做 的 就 是 收集 留 下 的 线索 ,这 就 必须 依靠 人 侵 检 测 系统 。 
由 于 下 列 原因 ,入 侵 检测 是 十 分 必要 的 。 
。 由 于 网 络 安 全 本 身 的 复杂 性 ,被 动 式 的 防御 方式 显得 力不从心 。 
。 有 关 的 防火 墙 和 网 络 边 界 的 设备 可 以 被 攻破 ,并 非 所 有 威胁 均 来 自 防火 墙 外 部 。 
。 和 人 侵 很 容易 ,入侵 教程 随处 可 见 , 各 种 工具 唾 手 可 得 。 
入 侵 检 测 发 展 的 历史 : 
* 1980 年 ,James P. Anderson 的 (计算 机 安全 威胁 监控 与 监视 了 (Computer Security 
Threat Monitoring and Surveillance) ,第 一 次 详细 阐述 了 入 侵 检 测 的 概念 ;提出 计 
算 机 系统 威胁 分 类 ;提出 了 利用 审计 跟踪 数据 监视 入 侵 活动 的 思想 ;此 报告 被 公认 
为 是 入 侵 检测 的 开山 之 作 。 
* 1984 年 到 1986 年 ,乔治 敦 大 学 的 Dorothy Denning 和 SRI/CSL 的 Peter Neumann 
研究 出 了 一 个 实时 入 侵 检测 系统 模型 一 -IDES( 入 侵 检 测 专家 系统 ) 。 
* 1990 年 ,加 州 大 学 戴 维 斯 分 校 的 L. T. Heberlein 等 人 开发 出 了 NSM (Network 
Security Monitor) ,该 系统 第 一 次 直接 将 网 络 流 作为 审计 数据 来 源 , 因 而 可 以 在 不 
将 审计 数据 转换 成 统一 格式 的 情况 下 监控 异种 主机 。 
和信 侵 检测 系统 发 展 史 翻 开 了 新 的 一 页 ,两 大 阵营 正式 形成 : 基于 网 络 的 IDS 和 基于 主 
机 的 IDS. 
。 1988 年 之 后 ,美国 开展 对 分 布 式 人 侵 检测 系统 (DIDS) 的 研究 ,将 基于 主机 和 基于 网 
络 的 检测 方法 集成 到 一 起 。DIDS 是 分 布 式 人 侵 检测 系统 历史 上 的 一 个 里 程 碑 式 的 
产品 。 
* 从 20 世纪 90 年 代 到 现在 ,入 侵 检 测 系统 的 研发 呈现 出 百家争鸣 的 繁荣 局 面 ,并 在 
智能 化 和 分 布 式 两 个 方向 取得 了 长 足 的 进展 。 


8.1.1 人 侵 检 测 原理 
通过 监视 受 保护 系统 的 状态 和 活动 ,采用 误 用 检测 或 异常 检测 的 方式 ,发 现 非 授权 或 恶 
意 的 系统 及 网 络 行为 ,为 防范 人 侵 行为 提供 有 效 的 手段 。 
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8.1.2 入侵 检测 系统 结构 


为 解决 人 侵 检测 系统 之 间 的 互 操 作 性 ,国际 上 的 一 些 研究 组 织 开 展 了 标准 化 工作 ,目前 
对 IDS 进行 标准 化 工作 的 有 两 个 组 织 : IETF 的 IDWG (Intrusion Detection Working 
Group) 和 CIDF(Common Intrusion Detection Framework) 。 

CIDF 早期 由 美国 国防 部 高 级 研究 计划 局 赞助 研究 ,现在 由 CIDF 工作 组 负责 ,是 一 个 
开放 组 织 。CIDF 阐述 了 一 个 人 侵 检 测 系统 (IDS) 的 通用 模型 。 它 将 一 个 人 侵 检 测 系统 分 为 
以 下 组 件 : 事件 产生 器 (Event generators) ,用 正 盒 表示 :事件 分 析 器 (Event analyzers) ,用 
A 盒 表示 ;响应 单元 (Responseunits) ,用 下 盒 表 示 : 事 件数 据 库 (Event databases), H D £x 
表示 。CIDF 模型 结构 如 图 8-1 所 示 。 


事件 产生 器 事件 分 析 器 
E L—————-| A 
D IR alm 
应 
事件 数据 库 mus 


图 8-1 CIDF 模型 结构 图 


CIDF 模型 的 结构 如 下 : 下 盒 通 过 传感器 收集 事件 数据 ,并 将 信息 传送 给 A 盒 ,A 盒 检 
测 误 用 模式 ;D 盒 存 储 来 自 AE 盒 的 数据 ,并 为 额外 的 分 析 提 供 信息 ;R x AE frd 
取 数 据 ,D 盒 启动 适当 的 响应 。A、E、D 及 R 盒 之 间 的 通信 和 都 基于 GIDO (Generalized 
Intrusion Detection Objects, 通 用 入 侵 检 测 对 象 ) 和 CISLCCommon Intrusion Specification 
Language, 通 用 入侵 规范 语言 ;。 如 果 想 在 不 同 种 类 的 A、E、D 及 R 盒 之 间 实 现 互 操作 , 需 
要 对 GIDO 实现 标准 化 并 使 用 CISL. 

由 于 网 络 环境 和 系统 安全 策略 的 差异 ,入 侵 检 测 系统 在 具体 实现 上 也 有 所 不 同 。 从 系 
统 构成 上 看 ,入 侵 检 测 系统 应 包括 事件 提取 、 入 侵 分 析 、 入 侵 响 应 和 远程 管理 四 大 部 分 ,另外 
还 可 能 结合 安全 知识 库 ,数据 存储 等 功能 模块 ,提供 更 为 完善 的 安全 检测 及 数据 分 析 功 能 ， 
如 图 8-2 所 示 。 


响应 处 理 


知识 库 e 入 侵 分 析 | 一 [ 数据 存储 


原始 数据 流 
图 8-2 系统 构成 


IDS 在 结构 上 可 划分 为 数据 收集 和 数据 分 析 两 部 分 。 
1. 数据 收集 机 制 
数据 收集 机 制 在 IDS 中 占据 着 举足轻重 的 位 置 。 如 果 收 集 的 数据 时 延 较 大 ,检测 就 会 
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失去 作用 ;如 果 数 据 不 完整 ,系统 的 检测 能 力 就 会 下 降 ; 如 果 由 于 错误 或 人 侵 者 的 行为 致使 
收集 的 数据 不 正确 ,IDS 就 无 法 检测 某 些 入 侵 , 给 用 户 以 安全 的 假象 。 

(1) 分 布 式 与 集中 式 数据 收集 机 制 。 

分 布 式 数据 收集 : 检测 系统 收集 的 数据 来 自 一 些 固定 位 置 而 且 与 受 监 视 的 网 元 数量 

集中 式 数 据 收集 : 检测 系统 收集 的 数据 来 自 一 些 与 受 监视 的 网 元 数量 有 一 定 比 例 关系 
的 位 置 。 

集中 式 和 分 布 式 数据 收集 方式 的 区 别 通 常 是 衡量 IDS 数据 收集 能 力 的 标志 ,它们 几乎 
以 相同 的 比例 应 用 于 当前 的 IDS 产品 中 。 据 专家 预言 ,分 布 式 数据 收集 机 制 在 若干 年 后 将 
会 占有 优势 。 

(2) 直接 监控 和 间接 监控 。 

如 果 IDS 从 它 所 监控 的 对 象 处 直接 获得 数据 , 则 称 为 直接 监控 ;反之 ,如 果 IDS 依赖 一 
个 单独 的 进程 或 工具 获得 数据 , 则 称 为 间接 监控 。 

就 检测 人 侵 行 为 而 言 ,直接 监控 要 优 于 间接 监控 ,由 于 直接 监控 操作 的 复杂 性 ,目前 的 
IDS 产品 中 只 有 不 足 20% 使 用 了 直接 监控 机 制 。 

(3) 基于 主机 的 数据 收集 和 基于 网 络 的 数据 收集 。 

基于 主机 的 数据 收集 是 从 所 监控 的 主机 上 获取 的 数据 ; 基于 网 络 的 数据 收集 是 通过 被 
监视 网 络 中 的 数据 流 获 得 数据 。 

总 体 而 言 ,基于 主机 的 数据 收集 要 优 于 基于 网 络 的 数据 收集 。 

(4) 外 部 探测 器 和 内 部 探测 器 

外 部 探测 器 是 负责 监测 主机 中 某 个 组 件 ( 硬 件 或 软件 ) 的 软件 。 它 将 向 IDS 提供 所 需 
的 数据 ,这 些 操 作 是 通过 独立 于 系统 的 其 他 代码 来 实施 的 。 

内 部 探测 器 是 负责 监测 主机 中 某 个 组 件 (硬件 或 软件 ) 的 软件 。 它 将 向 IDS 提供 所 需 
的 数据 ,这 些 操 作 是 通过 该 组 件 的 代码 来 实施 的 。 

外 部 探测 器 和 内 部 探测 器 在 用 于 数据 收集 时 各 有 利 整 ,可 以 综合 使 用 。 

由 于 内 部 探测 器 实现 起 来 的 难度 较 大 ,所 以 在 现 有 的 IDS 产品 中 ,只 有 很 少 的 一 部 分 
采用 它 。 

2. 数据 分 析 机 制 

根据 IDS 如 何 处 理 数据 ,可 以 将 IDS 分 为 分 布 式 IDS 和 集中 式 IDS。 

(1) 分 布 式 IDS: 在 一 些 与 受 监视 组 件 相 应 的 位 置 对 数据 进行 分 析 的 IDS。 

(2) 集中 式 IDS: 在 一 些 固定 且 不 受 监视 组 件数 量 限 制 的 位 置 对 数据 进行 分 析 的 IDS。 

注意 ,这 些 定义 是 基于 受 监视 组 件 的 数量 而 不 是 主机 的 数量 ,所 以 如 果 在 系统 中 的 不 同 
组 件 中 进行 数据 分 析 , 除 了 安装 集中 式 IDS 外 ,有 可 能 在 一 个 主机 中 安装 分 布 式 数据 分 析 
的 IDS。 分 布 式 和 集中 式 IDS 都 可 以 使 用 基于 主机 、 基 于 网 络 或 两 者 兼备 的 数据 收集 方式 。 

。 可靠 性 : 集中 式 IDS 仅 需 运行 较 少 的 组 件 。 分 布 式 IDS 则 需要 运行 较 多 的 组 件 。 
容错 : 集中 式 IDS 容易 使 系统 从 崩溃 中 恢复 ,但 也 容易 被 故障 中 断 。 分 布 式 IDS 由 
于 分 布 特性 ,所 有 数据 存储 时 很 难保 持 一 致 性 和 可 恢复 性 。 
增加 额外 的 系统 开销 : 集中 式 IDS 仅 在 分 析 组 件 中 增加 了 一 些 开 销 , 那 些 被 赋予 了 
大 量 负 载 的 主机 应 专门 用 作 分 析 。 分 布 式 IDS 由 于 运行 的 组 件 不 大 ,主机 上 增加 的 
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开销 很 小 ,但 对 大 部 分 被 监视 的 主机 来 说 增加 了 额外 开销 。 
* 可 扩容 性 : 集中 式 IDS 的 组 件数 量 被 限定 , 当 被 监视 主机 的 数量 增加 时 ,需要 更 多 
的 计算 和 存储 资源 处 理 新 增 的 负载 。 而 分 布 式 IDS 可 以 通过 增加 组 件 的 数量 来 监 
视 更 多 的 主机 ,但 扩容 将 会 受到 新 增 组 件 之 间 需 要 相互 通信 的 制约 。 
平缓 地 降低 服务 等 级 : RPR IDS 如 果 有 一 个 分 析 组 件 停 止 了 工作 ,一 部 分 程序 和 
主机 就 不 再 被 监视 ,但 整个 IDS 仍 在 继续 工作 。 而 分 布 式 IDS 如 果 有 一 个 分 析 组 件 
停止 了 工作 ,整个 IDS 就 有 可 能 停止 工作 。 
。 动态 地 重新 配置 : 集中 式 IDS 使 用 很 少 的 组 件 来 分 析 所 有 的 数据 ,如 果 重 新 配置 它 
们 需要 重新 启动 IDS。 分 布 式 IDS 很 容易 进行 重新 配置 ,不 会 影响 剩余 部 分 的 
性 能 。 
由 于 分 布 式 不 易 实 现 , 目 前 的 IDS 产品 多 是 集中 式 的 。 
在 实际 操作 过 程 中 ,数据 收集 和 数据 分 析 通 常 被 划分 成 两 个 步骤 ,在 不 同 的 时 间 甚 至 是 
不 同 的 地 点 进行 。 但 这 一 分 离 存在 着 缺点 ,在 实际 使 用 过 程 中 ,数据 收集 与 数据 分 析 功 能 之 
间 应 尽量 缩短 距离 。 


8.1.3 人 侵 检测 系统 分 类 


根据 入 侵 检测 采用 的 技术 ,可 以 分 为 异常 检测 和 误 用 检测 。 根 据 入 侵 检 测 监 测 的 对 象 
和 所 处 的 位 置 ,分 为 基于 网 络 和 基于 主机 两 种 。 

1. 基于 网 络 的 入 侵 检 测 系统 (Network-based Intrusion Detection System, NIDS) 

基于 网 络 的 和 人 侵 检测 系统 以 网 络 数据 包 作为 分 析 数 据 源 ,在 被 监视 网 络 的 网 络 数据 流 
中 寻找 攻击 特征 和 异常 特征 。 它 通常 利用 一 个 工作 在 混杂 模式 下 的 网 卡 来 实时 监视 并 分 析 
通过 网 络 的 数据 流 , 使 用 模式 匹配 ,统计 分 析 等 技术 来 识别 攻击 行为 。 一 旦 检测 到 了 攻击 行 
为 ,其 响应 模块 就 做 出 适当 的 响应 ,如 报警 .切断 网 络 连接 等 。 

NIDS 优点 是 能 检测 许多 基于 主机 的 系统 检测 不 到 的 攻击 ,而 更 可 靠 ; 具 有 更 好 的 实时 
特性 ,对 受 保护 的 主机 和 网 络 系统 的 性 能 影响 很 小 或 几乎 没有 影响 并 且 无 需 对 原来 的 系统 
和 结构 进行 改动 ;网 络 监听 引擎 是 透明 的 ,可 以 降低 检测 系统 本 身 遭 受 攻击 的 可 能 性 。 其 局 
限 性 是 : 无 法 检测 物理 侵入 被 监视 主机 系统 的 活动 .内 部 人 员 在 授权 范围 内 从 事 的 非法 活 
动 和 在 网 络 数 据 包 中 无 异常 而 只 能 通过 主机 状态 的 异常 变化 才能 反映 出 来 的 攻击 ;在 协议 
解析 和 模式 匹配 等 方面 的 计算 成 本 很 高 ,不 能 检查 加 密 的 数据 包 , 严 重 依赖 于 高 层 协议 (如 
应 用 层 ) 的 解析 能 力 ,不 知道 接收 节点 对 数据 包 的 处 理 过 程 以 及 由 此 引起 的 状态 变化 。 

2. 基于 主机 的 入 侵 检测 系统 (Host-based Intrusion Detection System. HIDS) 

基于 主机 的 入 侵 检 测 是 将 检测 系统 安装 在 被 重点 检测 的 主机 之 上 ,主要 是 对 该 主机 的 
网 络 实时 连接 以 及 系统 审计 日 志 进 行 智 能 分 析 和 判断 。 如 果 其 中 主体 活动 可 疑 (特征 或 行 
为 违反 统计 规律 ), 和 人 侵 检测 系统 就 会 采取 相应 措施 。 其 特点 主要 是 对 分 析 * 可 能 的 攻击 行 
为 "非常 有 用 ,不 仅 能 够 指出 入 侵 者 试图 执行 哪 种 “危险 的 命令 ”, 还 能 分 辨 出 入 侵 者 运行 了 
什么 命令 ,进行 了 哪些 操作 .执行 了 哪些 系统 调用 等 。 主 机 和 人 侵 检测 系统 与 网 络 人 侵 检 测 系 
统 相 比 , 能 够 提供 更 为 详尽 的 用 户 操作 调用 信息 。 

基于 主机 的 人 侵 检 测 系 统 有 集中 式 和 分 布 式 两 种 体系 结构 ,这 两 种 结构 都 是 基于 代理 
的 检测 结构 。 代 理 是 在 目标 系统 上 可 执行 的 小 程序 ,它们 与 命令 控制 平台 进行 通信 。 如 果 
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正确 地 操作 ,这 些 代 理 不 会 明显 地 降低 目标 系统 的 性 能 ,但 它们 会 带 来 部 署 和 支持 方面 的 
问题 。 

CD 集中 式 体 系 结构 

集中 式 体系 结构 的 特点 是 代理 负责 收集 来 自 不 同 目标 主机 的 日 志 , 将 日 志 进 行 预 处 理 
并 转化 为 标准 格式 ,由 命令 控制 台 对 这 些 日 志 集中 处 理 。 

该 系统 有 如 下 优点 : 


。 能 够 将 来 自 不 同 目标 主机 的 审计 信息 进行 集中 处 理 , 这 种 方式 对 目标 机 的 性 能 影响 
很 小 或 没有 影响 ,这 可 以 允许 进行 更 复杂 的 检测 。 

。 可 以 创建 日 志 , 作 为 原始 数据 的 数据 档案 ,这 些 数据 可 用 于 司法 物证 。 

可 用 于 多 主机 标志 检测 。 

可 将 存储 在 数据 库 中 的 告警 信息 和 原始 数据 结合 起 来 分 析 , 这 能 帮助 许多 人 侵 检 

iW ,还 可 以 进行 数据 辨析 以 查看 长 期 趋势 。 

同时 集中 式 系统 也 存在 有 以 下 的 缺点 : 

* 除非 目标 机 的 数量 较 少 或 者 检测 引擎 很 快 ,否则 会 对 实时 检测 或 实时 响应 带 来 
影响 。 

。 将 大 量 原始 数据 集中 起 来 会 影响 网 络 通信 量 。 

(2) 分 布 式 体系 结构 

该 结构 的 特点 是 将 不 同 的 代理 安装 在 不 同 的 目标 机 上 ,实时 地 分 析 数 据 , 但 记录 本 身 在 


被 目标 机 上 的 检测 引擎 分 析 提 出 有 用 信息 之 后 就 被 丢弃 了 。 该 结构 的 优点 是 实时 告警 、 实 
时 响应 。 缺 点 是 降低 了 目标 机 的 性 能 ,没有 原始 数据 档案 ,降低 了 数据 辨析 能 力 。 


随 着 网 络 的 不 断 发 展 , 基 于 主机 的 入 侵 检测 在 计算 机 安全 中 成 为 一 种 必 不 可 少 的 安全 


技术 ,其 优势 越 来 越 突现 出 来 ,其 具体 表现 在 以 下 方面 : 


。 监视 所 有 系统 行为 。 基 于 主机 的 入 侵 检测 系统 能 够 监视 所 有 的 用 户 登录 和 退出 ,其 
至 用 户 所 做 的 所 有 操作 、 审 计 系 统 在 日 志 里 记录 的 策略 改变 、 监 视 关 键 系统 文件 和 
可 执行 文件 的 改变 ,进而 给 系统 管理 者 提供 详细 的 主机 内 部 活动 信息 。 

有 些 攻击 在 网 络 数据 流 中 很 难 发 现 ,或 者 根本 没有 通过 网 络 本 地 进行 ,这 时 基于 主 
机 的 入 侵 检测 将 发 挥 其 优势 ,能够 准确 判别 。 

不 要 求 额 外 的 硬件 。 基 于 主机 的 和 人 侵 检测 系统 配置 在 现行 网 络 结构 中 ,包括 文件 服 
务 器 、Web 服务 器 及 其 他 共享 资源 。 这 些 使 得 基于 主机 的 系统 效率 很 高 ,因为 它们 
不 需要 在 网 络 上 另行 安装 、 维 护 ,管理 硬件 设备 。 

适应 加 密 和 交换 。 基 于 主机 的 入 侵 检测 系统 可 以 较为 灵活 地 配置 在 多 个 关键 主机 
上 ,不 必 考 虑 交换 和 网 络 拓 扑 问题 ,这 对 关键 主机 零散 地 分 布 在 多 个 网 段 上 的 环境 
特别 有 利 。 例 如 , 随 着 IPSec 技术 和 VPN 技术 的 逐步 得 到 应 用 , 越 来 越 多 的 网 络 业 
务 采用 加 密 技术 ,此 时 。 这 些 加 密 很 可 能 使 基于 网 络 的 入 侵 检测 系统 不 能 判断 确切 
的 攻击 ,甚至 根本 无 法 解 开 数 据 包 。 而 基于 主机 的 入 侵 检测 系统 由 于 总 可 以 在 系统 
的 内 核 得 到 解码 后 的 数据 包 , 所 以 不 受 加 密 解 密 的 限制 。 这 很 大 程度 上 影响 了 下 一 
代入 侵 检 测 技术 的 发 展 方向 。 

接近 实时 的 检测 和 响应 。 虽 然 基于 主机 的 和 人 侵 检测 系统 不 能 提供 真正 的 实时 反应 ， 
但 是 如 果 应 用 正确 ,反应 速度 可 以 非常 接近 实时 的 。 传 统 系统 利用 一 个 进程 在 预先 
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定义 的 间隔 内 检查 、 登 记 文件 的 状态 和 内 容 , 而 基于 主机 的 系统 采用 中 断 指令 ,新 的 
记录 可 以 被 立即 处 理 ,显著 减少 了 从 攻击 验证 到 作出 响应 的 时 间 , 从 操作 系统 作出 
记录 到 基于 主机 的 系统 得 到 识别 结果 之 间 的 这 段 时 间 是 一 段 延迟 ,但 在 大 多 数 情况 
下 ,在 破坏 发 生 之 前 ,系统 就 能 发 现 人 侵 者 ,并 终止 其 攻击 。 

。 越 来 越 多 的 现代 操作 系统 在 系统 的 核心 开始 融合 进入 侵 检 测 技术 ,基于 主机 和 人 侵 检 
测 系 统 的 应 用 前 景 将 越 来 越 广 。 

基于 主机 的 入 侵 检 测 系统 存在 的 缺点 是 : 

。 它 依赖 于 主机 固有 的 日 志 与 监视 能 力 , 而 主机 审计 信息 存在 弱点 : 易 受 攻击 ,入 侵 
者 可 设法 逃避 审计 。 

* IDS 的 运行 或 多 或 少 影响 主机 的 性 能 。 

* HIDS 只 能 对 主机 的 特定 用 户 、 应 用 程序 执行 动作 和 日 志 进 行 检测 ,所 能 检测 到 的 攻 
击 类 型 受到 限制 。 

。 全 面部 署 HIDS 代价 较 大 。 

目前 主机 入 侵 检 测 技术 的 主要 技术 特性 包括 以 下 几 个 方面 : 

D 全 方位 保护 。 

HIDS 一 般 将 入 侵 检测 .日志 审计 、 文 件 完整 性 保护 结合 于 一 体 ,对 来 自 网 络 以 及 本 地 
主机 的 访问 进行 全 面 分 析 、 从 系统 日 志 的 错误 信息 、 非 法 的 文件 改动 以 及 可 疑 的 网 络 信 息 包 
数据 中 侦 测 出 入 侵 行 为 ,及 时 报告 给 系统 管理 员 。 

@ 支持 双 机 热 备 环境 下 的 服务 器 保护 。 

HIDS 应 支持 运行 于 双 机 热 备 或 集群 环境 等 高 端 运行 环境 ,可 以 自动 判断 集群 环境 下 
节点 运行 状态 ,即时 智能 调节 运行 状态 ,以 保证 在 突 发 情况 下 仍 可 以 经 常 进行 人 侵 行为 检 
测 ,而 不 影响 网 络 的 集群 服务 。 

© 安全 策略 的 自 适应 配置 。 

HIDS 应 支持 管理 员 针 对 每 一 条 入 侵 检测 规则 配置 不 同 警 戒 级 别 的 安全 策略 , 除 此 之 
外 ,还 可 以 智能 地 根据 主机 实际 服务 环境 ,自动 进行 安全 策略 配置 ,将 可 能 会 发 生 潜 在 攻击 
行为 规则 的 匹配 优先 级 适当 提高 ,从 而 实现 更 高 的 检测 效率 。 

(D 与 防火 墙 进行 联动 。 

HIDS 应 实现 与 多 家 厂商 防火 墙 产品 的 联动 ,在 检测 到 入 侵 行 为 之 后 根据 安全 策略 自 
动 调整 防火 墙 的 配置 ,以 阻止 进一步 的 攻击 。 

@ 多 种 灵活 的 报警 方式 。 

HIDS 应 支持 多 种 报警 方式 ,除了 报警 灯 .E-mail、 声 音 的 常规 报警 方式 之 外 ,还 应 支持 
寻呼机 、 手 机 短信 形式 的 报警 .使 管理 员 在 最 短 的 时 间 内 获知 入 侵 行为 ,并 根据 提供 的 解决 
方案 进行 防护 。 

© 支持 SNMP, 

应 支持 SNMP( 简 单 网 络 管理 协议 ) ,便于 大 规模 网 络 环境 下 多 种 设备 的 集中 管理 。 

CD 方便 .直观 的 报警 信息 库 管 理 。 

应 具有 根据 不 同 的 检索 规则 对 报警 信息 进行 分 类 检索 的 功能 ,可 以 通过 系统 提供 的 直 
观 的 饼 状 数据 分 析 图 进行 查看 ,报警 数据 库 的 导入 导出 功能 和 报表 打印 功能 使 得 报警 信息 
可 以 长 期 保存 ,以 便于 保存 人 侵 证 据 。 
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@ 自身 的 高 安全 性 保护 。 

HIDS 通信 采用 安全 的 数据 传输 通道 ;控制 中 心 的 登录 采用 严格 的 身份 验证 ,科学 地 划 
分 用 户 权 限 , 加 强 报警 信息 的 管理 ;探头 端 检 测 进 程 使 用 多 种 保护 措施 ,防止 被 非法 改动 和 
终止 。 
主机 入 侵 检 测 技 术 的 发 展 趋势 主要 体现 在 以 下 几 个 方面 : 
技术 的 改进 。 

和 人 侵 检 测 误 报 和 漏 报 的 解决 最 终 依靠 分 析 技 术 的 改进 。 目 前 入 侵 检测 分 析 方 法 主要 
有 :异常 检测 、 误 用 检测 ,行为 分 析 等 。 行为 分 析 技 术 不 仅 简 单 分 析 单 次 攻击 事件 ,还 根据 前 
后 发 生 的 事件 确认 是 否 确 有 攻击 发 生 , 攻 击 行为 是 否 生效 ,是 入 侵 检 测 分 析 技 术 的 最 高 境 
界 。 但 目前 由 于 算法 处 理 和 规则 制定 的 难度 很 大 ,目前 还 不 是 非常 成 熟 ,但 却 是 入 侵 检测 技 
术 发 展 的 趋势 。 目 前 最 好 综合 使 用 多 种 检测 技术 ,而 不 只 是 依靠 传统 的 异常 检测 和 误 用 检 
测 技术 。 另 外 ,规则 库 是 否 及 时 更 新 也 和 检测 的 准确 程度 相关 。 

@ 安全 性 和 易 用 性 的 提高 。 

入 侵 检测 是 个 安全 产品 ,自身 安全 极为 重要 。 因 此 ,目前 的 入 侵 检测 产品 大 多 采用 黑洞 
式 接 入 ,免除 自身 安全 问题 。 同 时 ,对 易 用 性 的 要 求 也 日 益 增 强 , 例 如 :全 中 文 的 图 形 界面 ， 
自动 的 数据 库 维护 ,多样 的 报表 输出 。 这 些 都 是 优秀 入 侵 产 品 的 特性 和 以 后 继续 发 展 细 化 
的 趋势 。 

© 入 侵 检测 系统 与 网 络 人 侵 检测 系统 集成 。 

基于 主机 和 基于 网 络 的 入 侵 检测 系统 都 有 各 自 的 优势 ,两 者 相互 补充 。 这 两 种 方式 都 
能 发 现 对 方 无 法 检测 到 的 一 些 人 侵 行为 。 联 合 使 用 基于 主机 和 基于 网 络 这 两 种 方式 能 够 达 
到 更 好 的 检测 效果 。 我 们 可 以 使 用 基于 网 络 的 IDS 提供 早期 报警 ,而 使 用 基于 主机 的 IDS 
来 验证 攻击 是 否 取 得 成 功 。 目 前 已 经 出 台 了 成 型 的 安全 产品 将 二 者 进行 了 集成 (数据 采集 
协同 ) ,提供 集 成 化 的 攻击 签名 、 检 测 .报告 和 事件 关联 功能 。 相 信 未 来 的 集成 化 的 入侵 检测 
产品 不 仅 功能 上 更 加 强大 ,而 且 部 署 和 使 用 上 也 更 加 灵活 方便 。 
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8.2.1 人 侵 检 测 分 析 模 型 


人 们 多 年 来 对 入 侵 检 测 的 研究 ,使 得 该 研究 领域 已 具有 一 定 的 规模 和 相应 的 理论 体系 。 
入 侵 检 测 的 核心 问题 在 于 如 何 对 安全 审计 数据 进行 分 析 , 以 检测 其 中 是 否 包含 入 侵 或 异常 
行为 的 迹象 。 

分 析 是 入 侵 检测 的 核心 功能 , 它 既 能 简单 到 像 一 个 已 熟悉 日 志 情 况 的 管理 员 去 建立 决 
策 表 , 也 能 复杂 得 像 一 个 集成 了 几 百 万 个 处 理 的 非 参 数 系统 。 入 侵 检测 过 程 分 析 过 程 分 为 
三 部 分 : 信息 收集 ,信息 分 析 和 结果 处 理 。 

COD 信息 收集 : 入 侵 检 测 的 第 一 步 是 信息 收集 ,收集 内 容 包 括 系统 、 网 络 、 数 据 及 用 户 
活动 的 状态 和 行为 。 由 放置 在 不 同 网 段 的 传感器 或 不 同 主机 的 代理 来 收集 信息 ,包括 系统 
和 网 络 日 志文 件 、 网 络 流量 、 非 正常 的 目录 和 文件 改变 、 非 正常 的 程序 执行 。 

(2) 信息 分 析 : 收集 到 的 有 关系 统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 等 信息 ,被 送 
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到 检测 引擎 ,检测 引擎 驻 留 在 传感器 中 ,一 般 通过 三 种 技术 手段 进行 分 析 : 模式 匹配 、 统 计 
分 析 和 完整 性 分 析 。 当 检测 到 某 种 误 用 模式 时 ,产生 一 个 告警 并 发 送 给 控制 台 。 

(3) 结果 处 理 : 控制 台 按 照 告警 产生 预先 定义 的 响应 采取 相应 措施 ,可 以 是 重新 配置 
路 由 器 或 防火 墙 ` 终 止 进程 .切断 连接 改变 文件 属性 ,也 可 以 只 是 简单 的 告警 。 


8.2.2 误 用 检测 


误 用 检测 也 称 为 基于 知识 的 检测 , 它 指 运用 已 知 的 攻击 方法 ,根据 已 定义 好 的 入 侵 模 
式 , 通 过 判断 这 些 人 侵 模式 是 否 出 现 来 检测 。 

基于 模式 匹配 的 误 用 入 侵 检测 模式 匹配 就 是 将 捕获 到 的 数据 与 已 知 网 络 人 侵 和 系统 误 
用 模式 数据 库 进行 比较 ,从 而 发 现 违背 安全 策略 的 行为 。 

1. 基于 专家 系统 的 误 用 入 侵 检测 

基于 专家 系统 的 误 用 入 侵 检测 方法 是 通过 将 安全 专家 的 知识 表示 成 规则 形成 专家 知识 
库 , 然 后 运用 推理 算法 检测 人 侵 。 用 专家 系统 对 入侵 进行 检测 ,经 常 是 针对 有 特征 的 人 侵 行 
为 。 所 谓 的 规则 , 即 是 知识 ,专家 系统 的 建立 依赖 于 知识 库 的 完备 性 ,知识 库 的 完备 性 又 取 
决 于 审计 记录 的 完备 性 与 实时 性 。 

这 种 方法 能 把 系统 的 控制 推理 从 问题 解决 的 描述 中 分 离 出 去 ,输入 的 攻击 信息 使 用 if- 
then 语法 ,指示 入 侵 的 条 件 被 具体 地 放 在 if 后 ,然后 将 事件 与 条 件 进行 比较 ,如 果 匹 配 就 执 
ff then 语句 后 面 的 动作 。 

在 具体 实现 中 ,专家 系统 主要 面临 以 下 问题 : 

(1) 难以 科学 地 从 各 种 人 侵 手段 中 抽象 出 全 面 地 规则 化 知识 。 

(2) 所 需 处 理 的 数据 量 过 大 ,而 且 在 大 型 系统 上 ,如 何 实时 连续 地 审计 数据 也 是 一 个 
问题 。 

2. 基于 模型 推理 的 误 用 入 侵 检测 

入 侵 者 在 攻击 一 个 系统 时 往往 采用 一 定 的 行为 序列 ,如 猜测 口令 的 行为 序列 ,这 种 行为 
序列 构成 了 具有 一 定 行为 特征 的 模型 ,根据 这 种 模型 所 代表 的 攻击 意图 的 行为 特征 ,可 以 实 
时 地 检测 出 恶意 的 攻击 企图 。 

与 专家 系统 通常 放弃 处 理 那 些 不 确定 的 中 间 结 论 的 缺点 相 比 ,该 方法 基于 完善 的 不 确 
定性 推理 数学 理论 。 基 于 模型 的 入侵 检测 方法 可 以 仅 监视 一 些 主 要 的 审计 事件 , 当 这 些 事 
件 发 生 后 ,再 开始 记录 详细 的 审计 ,从 而 减少 审计 事件 处 理 负荷 。 

3. 基于 状态 转换 分 析 的 误 用 入 侵 检 测 

状态 转换 分 析 就 是 将 状态 转换 图 应 用 于 入 侵 行为 的 分 析 。 状 态 转换 法 将 入 侵 过 程 看 作 
一 个 行为 序列 ,这 个 行为 序列 导致 系统 从 初始 状态 转 入 被 入 侵 状 态 。 分 析 时 首先 针对 每 一 
种 入 侵 方法 确定 系统 的 初始 状态 和 被 入 侵 状 态 ,以 及 导致 状态 转换 的 转换 条 件 , 即 导致 系统 
进入 被 入 侵 状 态 必须 执行 的 操作 (特征 事件 )。 然 后 用 状态 转换 图 来 表示 每 一 个 状态 和 特征 
事件 ,这 些 事件 被 集成 于 模型 中 ,所 以 检测 时 不 需要 一 个 个 地 查找 审计 记录 。 但 是 ,状态 转 
换 是 针对 事件 序列 分 析 的 ,所 以 不 善于 分 析 过 分 复杂 的 事件 ,而 且 不 能 检测 与 系统 状态 无 关 
的 人 侵 。 

误 用 入 侵 检测 是 根据 已 知 的 系统 或 应 用 程序 漏洞 建立 异常 行为 模型 ,然后 将 用 户 行 为 
与 之 进行 匹配 ,相同 则 为 人 侵 。 因 此 ,这 种 方法 的 优点 是 建 模 对 象 是 已 知 的 ,所 以 可 以 得 到 


253 


网 络 安全 技术 


较 高 的 准确 度 : 但 是 对 于 已 知 攻击 的 某 些 变 体 或 是 新 型 的 攻击 , 它 就 无 能 为 力 了 。 

而 异常 入 侵 检测 正好 相反 , 它 是 试图 建立 正常 行为 模型 ,任何 违反 该 模型 的 事件 都 被 认 
为 是 可 疑 的 ,所 以 这 种 模型 的 好 处 是 可 以 检测 到 一 些 未 知 攻击 ,但 是 这 种 模型 往往 不 能 完全 
反映 计算 机 系统 的 复杂 的 动态 本 质 ,因而 很 难 准确 建 模 。 

很 明显 ,上 述 两 种 检测 方法 具有 一 定 程 度 的 互补 性 ,所 以 可 以 将 两 种 方式 结合 起 来 , 即 
整个 系统 的 检测 手法 多 样 ,在 不 同 的 情况 .不同 的 检测 位 置 处 采用 相 适 应 的 检测 方法 ,从 而 
提高 系统 的 检测 效率 。 


8.2.3 异常 检测 


异常 检测 也 被 称 为 基于 行为 的 检测 ,基于 行为 的 检测 指 根据 使 用 者 的 行为 或 资源 使 用 
状况 来 判断 是 否 人 侵 。 基 于 行为 的 检测 与 系统 相对 无 关 , 通 用 性 较 强 。 

它 甚至 有 可 能 检测 出 以 前 未 出 现 过 的 攻击 方法 ,不 像 基于 知识 的 检测 那样 受 已 知 脆弱 
性 的 限制 。 但 因为 不 可 能 对 整个 系统 内 的 所 有 用 户 行为 进行 全 面 的 描述 ,并 且 每 个 用 户 的 
行为 是 经 常 改变 的 ,所 以 它 的 主要 缺陷 在 于 误 检 率 很 高 。 尤 其 在 用 户 数 目 众多 ,或 工作 目的 
经 常 改变 的 环境 中 。 其 次 ,由 于 统计 简 表 要 不 断 更 新 ,入 侵 者 如 果 知 道 某 系统 在 检测 器 的 监 
视 之 下 ,他们 可 以 慢 慢 地 训练 检测 系统 ,以 至 于 最 初 认为 是 异常 的 行为 ,经 过 一 段 时 间 的 训 
练 之 后 也 认为 是 正常 的 了 。 

异常 检测 方法 主要 有 以 下 两 种 。 

1. 统计 分 析 

概率 统计 方法 是 基于 行为 的 入 侵 检 测 中 应 用 最 早 也 是 最 多 的 一 种 方法 。 首 先 ,检测 器 
根据 用 户 对 象 的 动作 为 每 个 用 户 都 建立 一 个 用 户 特 征 表 ,通过 比较 当前 特征 与 已 存储 定型 
的 以 前 特征 ,从 而 判断 是 否 是 异常 行为 。 用 户 特 征 表 需 要 根据 审计 记录 情况 不 断 地 加 以 更 
新 。 用 于 描述 特征 的 变量 类 型 有 : 

(1) 操作 密度 :度量 操作 执行 的 速度 ,常用 于 检测 通过 长 时 间 平 均 察觉 不 到 的 异常 


行为 。 
(2) 审计 记录 分 布 : 度量 在 最 新 记录 中 所 有 操作 类 型 的 分 布 。 
G) 范畴 尺度 : 度量 在 一 定 动作 范畴 内 特定 操作 的 分 布 情况 。 
(4) 数值 尺度 : 度量 那些 产生 数值 结果 的 操作 ,如 CPU 使 用 量 、1/O 使 用 量 。 
这 种 方法 的 优越 性 在 于 能 应 用 成 熟 的 概率 统计 理论 。 但 也 有 一 些 不 足 之 处 如 统计 检测 
对 事件 发 生 的 次 序 不 敏感 ,也 就 是 说 ,完全 依靠 统计 理论 可 能 漏 检 那 些 利 用 彼此 关联 事件 中 
入 侵 行为 。 其 次 ,定义 是 否 人 侵 的 判断 辣 值 也 比较 困难 。 阅 值 太 低 , 则 漏 检 率 太 高 : BUICK 
高 , 则 误 检 率 太 高 。 

2. 神经 网 络 

神经 网 络 方法 是 利用 一 个 包含 很 多 计算 单元 的 网 络 来 完成 复杂 的 映射 函数 ,这 些 单元 
通过 使 用 加 权 的 连接 相互 作用 。 一 个 神经 网 络 只 是 根据 单元 和 它们 间 的 权 值 连接 编码 成 网 
络 结构 ,实际 的 学 习 过 程 是 通过 改变 权 值 和 加 入 或 移 去 连接 进行 的 。 神 经 网 络 处 理 分 为 两 
个 阶段 : 首先 ,通过 正常 系统 行为 对 该 网 络 进行 训练 ,调整 其 结构 和 权 值 ;然后 将 所 观测 到 
的 事件 流 输入 网 络 ,由 此 判别 这 些 事件 流 是 正常 (与 训练 数据 匹配 的 ) 还 是 异常 。 同 时 ,系统 
也 能 利用 这 些 观 测 到 的 数据 进行 训练 ,从 而 使 网 络 可 以 学 习 系统 行为 的 一 些 变化 。 
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这 种 方法 的 优点 是 它 不 依赖 于 任何 有 关 数 据 种 类 的 统计 假设 ,并 能 较 好 地 处 理 噪声 数 
据 。 它 的 不 足 之 处 是 网 络 的 拓扑 结构 和 每 个 元 素 分 配 权重 必须 经 过 多 次 的 尝试 与 失败 的 过 
程 才能 确定 : 另外 神经 网 络 不 能 为 它们 发 现 的 任何 异常 提供 解释 ,这 就 妨碍 了 用 户 获得 说 
明 性 资料 或 寻求 人 侵 安全 问题 根源 的 能 力 。 


8.2.4 其 他 检测 技术 


1. 基于 规则 的 入 侵 检测 

基于 规则 的 入 侵 检测 是 通过 观察 系统 里 发 生 的 事件 并 将 该 事件 与 系统 的 规则 集 进 行 匹 
配 ,来 判断 该 事件 是 否 与 某 条 规则 所 代表 的 入 侵 行为 相对 应 。 基 于 规则 的 入 侵 检 测 分 为 : 
基于 规则 的 异常 检测 和 基于 规则 的 渗透 检测 。 

2. 分 布 式 入 侵 检测 

分 布 式 人 侵 检 测 系统 设计 应 包含 主机 代理 模块 .局域网 监测 代理 模块 和 中 央 管 理 器 模 
块 三 个 模块 。 


8.3 入 侵 检 测 系统 的 标准 


8.3.1 IETF/ IDWG 


为 了 提高 IDS 产品 .组件 及 与 其 他 安全 产品 之 间 的 互 操作 性 ,美国 国防 高 级 研究 计划 
署 (DARPA) 和 互联 网 工程 任务 组 (IETF) 的 入 侵 检测 工作 组 (IDWG) 发 起 制订 了 一 系列 建 
议 草案 ,从 体系 结构 、API, 通 信和 机 制 ,语言 格式 等 方面 规范 IDS 的 标准 。 

DARPA 提出 的 公共 入 侵 检测 框架 (CIDF) ,最 早 由 加 州 大 学 戴 维 斯 分 校 安全 实验 室 主 
持 起 草 工作 。1999 年 6 月 ,IDWG 就 人 侵 检测 也 出 台 了 一 系列 草案 。 但 是 ,这 两 个 组 织 提 
出 的 草案 或 建议 目前 还 正 处 于 逐步 完善 之 中 ,尚未 被 采纳 为 广泛 接受 的 国际 标准 。 不 过 , 它 
们 仍 是 入 侵 检 测 领域 最 有 影响 力 的 建议 ,成 为 标准 只 是 时 间 问 题 。 

IDWG 的 任务 是 : 定义 数据 格式 和 交换 规程 .用 于 入 侵 检测 与 响应 (IDR) 系统 之 间或 
与 需要 交互 的 管理 系统 之 间 的 信息 共享 。IDWG 提出 的 建议 草案 包括 三 部 分 内 容 : 入 侵 检 
测 消息 交换 格式 (IDMEF)、 入 侵 检 测 交换 协议 (IDXP) 以 及 隧道 轮廓 (Tunnel Profile). 

1. IDMEF 

IDMEF 描述 了 表示 入 侵 检测 系统 输出 信息 的 数据 模型 .并 解释 了 使 用 此 模型 的 基本 原 
理 。 该 数据 模型 用 XML 实现 ,并 设计 了 一 个 XML 文档 类 型 定义 。 自 动人 侵 检测 系统 可 以 
使 用 IDMEF 提供 的 标准 数据 格式 对 可 疑 事件 发 出 警报 ,提高 商业 .开放 资源 和 研究 系统 之 
间 的 互 操作 性 。IDMEF 最 适用 于 入 侵 检测 分 析 器 (或 称 为 “探测 器 ?>) 和 接收 警报 的 管理 器 
(或 称 为 “控制 台 ”) 之 间 的 数据 信道 。 

(D IDMEF 的 数据 模型 

IDMEF 数据 模型 以 面向 对 象 的 形式 表示 探测 器 传递 给 控制 台 的 警报 数据 ,设计 数据 模 
型 的 目标 是 为 警报 提供 确定 的 标准 表达 方式 ,并 描述 简单 警报 和 复杂 警报 之 间 的 关系 。 

IDMEF 数据 模型 各 个 主要 部 分 之 间 的 关系 如 图 8-3 所 示 。 

所 有 IDMEF 消息 的 最 高 层 类 是 IDMEF-Message. 每 一 种 类 型 的 消息 都 是 该 类 的 子 
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IDMEF-Message 


Alert 


Analyzer Heartbeat Analyzer 
CreateTime Node | CreateTime 
DetectTime A User AdditionalData 


Process 


AnalyzerTime 


Source Service 
Target Node 
Classification User 
AdditionalData Process 
Service 


图 8-3 IDMEF 数据 模型 各 个 主要 部 分 之 间 的 关系 


3€, IDMEF 目前 定义 了 两 种 类 型 的 消息 : Alert( 警 报 ) 和 Heartbeat( 心 跳 ) ,这 两 种 消息 又 
分 别 包括 各 自 的 子 类 ,以 表示 更 详细 的 消息 。 

需要 注意 的 是 ,IDMEF 数据 模型 并 没有 对 警报 的 分 类 和 鉴别 进行 说 明 。 例 如 ,对 一 个 
端口 的 扫描 ,一 个 分 析 器 可 能 将 其 确定 为 一 个 多 目标 的 单一 攻击 ,而 另 一 个 分 析 器 可 能 将 其 
确定 为 来 自 同 一 个 源 的 多 次 攻击 。 只 有 一 个 分 析 器 决定 了 发 送 的 警报 类 型 ,数据 模型 才能 
规定 怎样 对 这 个 警报 进行 格式 化 。 

IDMEF 数据 模型 是 用 统一 建 模 语言 (UML) 描 述 的 。UML 用 一 个 简单 的 框架 表示 实 
体 以 及 它们 之 间 的 关系 ,并 将 实体 定义 为 类 。IDMEF 包括 的 主要 类 有 IDMEF-Message 
类 、Alert 类 、Heartbeat 类 、Core 2$, Time 类 和 Support 类 ,这 些 类 还 可 以 再 细 分 为 许多 
子 类 。 

(2) 使 用 XML 描述 IDMEF 文档 标记 

IDWG 最 早 曾 提出 两 个 建议 实现 IDMEF: 用 SMI( 管 理 信息 结构 ) 描 述 一 个 SNMP 
MIB 和 使 用 DTD( 文 档 类 型 定义 ) 描 述 XML 文档 。IDWG 在 1999 4E 9 H fll 2000 4E 2 H 7 
别 对 这 两 个 建议 进行 了 评估 ,认为 XML 最 能 符合 IDMEF 的 要 求 ,于 是 ,在 2000 年 2 月 的 
会 议 上 决定 采用 XML 方案 。 

XML 是 SGML( 标 准 通用 标记 语言 ) 的 简化 版 本 ,是 ISO 8879 标准 对 文本 标记 说 明 进 
行 定义 的 一 种 语法 。 作 为 一 种 表示 和 交换 网 络 文档 及 数据 的 语言 ,XML 能 够 有 效 地 解决 
HTML 面临 的 许多 问题 ,所 以 获得 了 业界 的 普遍 青睐 。1998 年 10 H WWW 联盟 (W3C) 
将 XML 作为 一 项 建议 公布 于 众 。 此 后 不 久 .WWW 联盟 又 发 布 了 一 份 建议 ,定义 了 XML 
文档 中 的 名 字 空 间 。 

XML 是 一 种 元 语言 一 一 即 一 个 描述 其 他 语言 的 语言 , 它 允 许 应 用 程序 定义 自己 的 标 
记 , 还 可 以 不 同类 型 的 文档 和 应 用 程序 定义 定制 化 的 标记 语言 。 

XML DTD( 文 档 类 型 定义 ) 可 用 来 声明 文档 所 用 的 标记 . 它 包括 元 素 ( 文 档 包 括 的 不 同 
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信息 部 分 )、 属 性 (信息 的 特征 ) 和 内 容 模型 (各 部 分 信息 之 间 的 关系 )。 

2. IDXP 

IDXP( 入 侵 检测 交换 协议 ) 是 一 个 用 于 入 侵 检测 实体 之 间 交 换 数据 的 应 用 层 协议 ,能够 
实现 IDMEF 消息 、 非 结构 文本 和 二 进 制 数 据 之 间 的 交换 ,并 提供 面向 连接 协议 之 上 的 双方 
认证 完整 性 和 保密 性 等 安全 特征 。IDXP 是 BEEP 的 一 部 分 ,后 者 是 一 个 用 于 面向 连接 的 
异步 交互 通用 应 用 协议 ,IDXP 的 许多 特色 功能 (如 认证 ,保密 性 等 ) 都 是 由 BEEP 框架 提 
供 的 。 


8.3.2 CIDF 


CIDF 是 一 套 规范 , 它 定 义 了 IDS 表达 检测 信息 的 标准 语言 以 及 IDS 组 件 之 间 的 通信 
协议 。 符 合 CIDF 规范 的 IDS 可 以 共享 检测 信息 ,相互 通信 ,协同 工作 ,还 可 以 与 其 他 系统 
配合 实施 统一 的 配置 响应 和 恢复 策略 。CIDF 的 主要 作用 在 于 集成 各 种 IDS 使 之 协同 工 
作 ,实现 各 IDS 之 间 的 组 件 重 用 ,所 以 CIDF 也 是 构建 分 布 式 IDS 的 基础 。 

CIDF 的 规格 文档 由 四 部 分 组 成 ,分 别 为 : 

。 体系 结构 (Common Intrusion Detection Framework Architecture) ; 

* 规范 语言 (Common Intrusion Specification Language) ; 

。 内 部 通信 (Communication in the Common Intrusion Detection Framework); 

。 程序 接口 (Common Intrusion Detection Framework APIs). 

CIDF 的 体系 结构 文档 阐述 了 一 个 标准 的 IDS 的 通用 模型 ;规范 语言 定义 了 一 个 用 来 
描述 各 种 检测 信息 的 标准 语言 ;内 部 通信 定义 了 IDS 组 件 之 间 进 行 通信 的 标准 协议 ;程序 
接口 提供 了 一 整套 标准 的 应 用 程序 接口 (API 函数 )。 

CIDF 将 IDS 需要 分 析 的 数据 统称 为 事件 (event) , 它 可 以 是 基于 网 络 的 IDS 从 网 络 中 
提取 的 数据 包 , 也 可 以 是 基于 主机 的 IDS 从 系统 日 志 等 其 他 途径 得 到 的 数据 信息 。 

CIDF 组 件 之 间 的 交互 数据 使 用 通用 入 侵 检测 对 象 (Generalized Intrusion Detection 
Objects,GIDO) 格 式 , 一 个 GIDO 可 以 表示 在 一 些 特定 时 刻 发 生 的 一 些 特定 事件 ,也 可 以 表 
示 从 一 系列 事件 中 得 出 的 一 些 结论 ,还 可 以 表示 执行 某 个 行动 的 指令 。 

CIDF 将 一 个 入 侵 检测 系统 分 为 4 个 组 件 ,如 图 8-4 所 示 。 


[ se 


事件 分 析 器 GDo™| 响应 单元 


o 
事件 数据 库 
图 8-4 CIDF Ziff 


I———- 
GIDO action 


A) 事件 产生 器 (event generators) : 从 入 侵 检测 系统 外 的 整个 计算 环境 中 获得 事件 ， 
并 以 CIDF gidos 格式 向 系统 的 其 他 部 分 提供 此 事件 。 事 件 产生 器 是 所 有 IDS 所 需要 的 , 同 
时 也 是 可 以 重用 的 。 

(2) 事件 分 析 器 (event analyzers): 从 其 他 组 件 接收 GIDO ,分 析 得 到 的 数据 ,并 产生 新 
的 GIDO。 如 分 析 器 可 以 是 一 个 轮廓 特征 引擎 。 
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(3) 响应 单元 (response units ) : 是 对 分 析 结 果 作出 反应 的 功能 单元 , 它 可 以 终止 进程 、 
重 置 连接 、 改 变 文件 属性 等 ,也 可 以 只 是 简单 的 报警 。 

(4) 事件 数据 库 (event databases) : 是 存放 各 种 中 间 和 最 终 数据 的 地 方 的 统称 , 它 可 以 
是 复杂 的 数据 库 ,也 可 以 是 简单 的 文本 文件 。 

CIDF 将 各 组 件 之 间 的 通信 划分 为 三 个 层次 结构 : GIDO 层 (GIDO layer)、 消 息 层 
(message layer) 和 协商 传输 层 (negotiated transport layer) 。 甚 中 协商 传输 层 不 属于 CIDF 
规范 , 它 可 以 采用 很 多 种 现 有 的 传输 机 制 来 实现 。 消 息 层 确保 被 加 密 认证 的 消息 在 防火 墙 
或 网 络 地 址 转换 NAT 等 设备 之 间 传 输 过 程 中 的 可 靠 性 。 消 息 层 不 关心 传输 的 内 容 , 它 只 
负责 建立 一 个 可 靠 的 传输 通道 。GIDO 层 任 务 就 是 提高 组 件 之 间 的 互 操作 性 ,负责 对 传输 
信息 的 格式 化 ,GIDO 就 如 何 表示 各 种 各 样 的 事件 做 了 详细 的 定义 。GIDO 层 只 考虑 所 传 
递 信息 的 语义 ,不 关心 这 些 消息 怎样 被 传递 。 

CIDF 也 对 各 组 件 之 间 的 信息 传递 格式 .通信 方法 和 标准 API 进行 了 标准 化 。 在 现 有 
的 IDS 中 ,经 常用 数据 采集 部 分 .分 析 部 分 .响应 部 分 和 日 志 来 分 别 代替 事件 产生 器 .事件 
分 析 器 、 响 应 单元 和 事件 数据 库 这 些 术语 。 

CIDF 的 规范 语言 文档 定义 了 一 个 应 用 层 的 公共 入 侵 标 准 语言 (Common Intrusion 
Specification Language, CISL) ,各 IDS 使 用 统一 的 CISL 来 表示 原始 事件 信息 (审计 踪迹 记 
录 和 网 络 数据 流 信 息 ) ,分 析 结 果 ( 系 统 异常 和 攻击 特征 描述 ) 和 响应 指令 (停止 某 些 特定 的 
活动 或 修改 组 件 的 安全 参数 ) ,从 而 建立 了 IDS 之 间 信 息 共享 的 基础 。CISL 是 CIDF 的 最 
核心 也 是 最 重要 的 内 容 ,GIDO 的 构建 与 编码 是 CISL 的 重点 。 

CIDF 的 内 部 通信 文档 描述 了 两 种 CIDF 组 件 之 间 通 信和 的 机 制 ,一 种 为 匹配 服务 
(matchmaking service) 法 , 另 一 种 为 消息 层 (message layer) 法 。 

CIDF 的 匹配 服务 (也 叫做 匹配 器 ) ,为 CIDF 各 组 件 之 间 的 相互 识别 .定位 和 信息 共享 
提供 了 一 个 标准 的 统一 的 机 制 。 匹 配器 的 实现 是 基于 轻 目录 存 取 协 议 (Lightweight 
Directory Access Protocol,LDAP) 的 ,每 个 组 件 通 过 目录 服务 注册 ,并 公告 它 能 够 产生 或 能 
够 处 理 的 GIDO ,这样 组 件 就 被 分 类 存放 ,其 他 组 件 就 可 以 方便 地 查找 到 那些 它们 需要 通信 
的 组 件 。 目 录 中 还 可 以 存放 组 件 的 公共 密 钥 ,从 而 实现 对 组 件 接收 和 发 送 GIDO 时 的 身份 
认证 。 

CIDF 的 消息 层 在 易 受 攻击 的 环境 中 实现 了 一 种 安全 (保密 .可 信人、 完整 ) 并 可 靠 的 信息 
交换 机 制 。 使 用 消息 机 制 主 要 是 为 了 达到 以 下 的 目的 使 通信 与 阻塞 和 非 阻 塞 处 理 无 关 、 使 
通信 和 与 数据 格式 无 关 、 使 通信 和 与 操作 系统 无 关 、 使 通信 与 编程 语言 无 关 。 默 认 情 况 下 消息 传 
输 是 基于 UDP 的 , 且 使 用 端口 0x0CDF 作为 CIDF 消息 传输 的 服务 端口 。 

CIDF 的 程序 接口 文档 描述 了 用 于 GIDO 编 解码 以 及 传输 的 应 用 程序 接口 API, 负 责 
GIDO 的 编码 、 解 码 和 传递 , 它 提供 的 调用 功能 使 得 程序 员 可 以 在 不 了 解 编 码 和 传递 过 程 具 
体 细节 的 情况 下 ,以 一 种 很 简单 的 方式 构建 和 传递 GIDO。API 包括 : GIDO 编码 和 解码 
API(GIDO Encoding/Decoding API Specification)、 消 息 层 API (Message Layer API 
Specification) ,GIDO 动态 追加 API(GIDO Addendum API) 、 签 名 API(Signature API) 、 顶 
JÆ CIDF 的 APICTop-Level CIDF API). 

GIDO 有 两 种 表现 形式 : 一 种 为 逻辑 形式 .表现 为 ASCII 文本 的 S 表达 式 , 它 是 用 户 可 
读 的 树 型 结构 ; 另 一 种 为 编码 形式 ,表现 为 二 进 制 的 与 机 器 相关 的 数据 结构 。GIDO 编 解码 
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API 定义 了 GIDO 在 这 两 种 形式 之 间 进 行 转换 的 标准 程序 接口 , 它 使 应 用 程序 可 以 方便 地 
转换 GIDO 而 不 必 关 心 其 具体 技术 细节 。 


8.4 入 侵 检 测 系 统 部 署 


8.4.1 入 侵 检 测 系 统 部 署 的 原则 


使 用 入 侵 检测 系统 和 防火 墙 共同 构建 网 络 安全 防护 体系 有 多 种 组 合 方法 ,用 户 可 以 根 
据 需要 进行 选择 。 

1. 入 侵 检测 引擎 放 在 防火 墙 之 外 

人 侵 检测 引擎 放 在 防火 墙 之 外 ,入 侵 检测 系统 能 接收 到 防火 墙 外 网 口 的 所 有 信息 ,管理 
员 可 以 清楚 地 看 到 所 有 来 自 Internet 的 攻击 , 当 与 防火 墙 联动 时 ,防火 墙 可 以 动态 阻 断 发 生 
攻击 的 连接 。 

2. 入 侵 检 测 引擎 放 在 防火 墙 之 内 

和 人 侵 检测 引擎 放 在 防火 墙 之 内 , 穿 透 防火 墙 的 攻击 与 来 自 于 局 域 网 内 部 的 攻击 都 可 以 
被 人 侵 检 测 系 统 监 听 到 ,管理 员 可 以 清楚 地 看 到 哪些 攻击 真正 对 自己 的 网 络 构成 了 威胁 。 

3. 防火 墙 内 外 都 装 有 入 侵 检 测 引擎 

防火 墙 内 外 都 装 有 入侵 检测 引擎 ,可 以 检测 来 自 内 部 和 外 部 的 所 有 攻击 ,管理 员 可 以 清 
楚 地 看 出 是 否 有 攻击 穿 透 防火 墙 , 对 自己 网 络 所 面 对 的 安全 威胁 了 如 指 掌 。 

4. 将 入 侵 检测 引擎 安装 在 其 他 关键 位 置 

安装 在 需要 重点 保护 的 网 段 ,如 财务 部 的 子 网 ,对 该 子 网 中 发 生 的 所 有 连接 进行 监控 ; 
安装 在 内 部 两 个 不 同 子 网 之 间 ,监视 两 个 子 网 之 间 的 所 有 连接 。 根 据 网 络 的 拓扑 结构 的 不 
同 , 入 侵 检测 系统 的 监听 端口 可 以 接 在 共享 媒质 的 集线器 (hub) 上 、 交 换 机 的 调试 端口 
(span port) 上 或 专 为 监听 所 增设 的 分 接 器 (tap) 上。 部署 图 如 图 8-5 所 示 。 


LJ 


图 8-5 检测 器 部 署 图 


8.4.2 人 侵 检测 系统 部 署 实例 


国内 某 省 级 公司 , 随 着 业务 需求 的 进一步 扩展 , 原 有 的 网 络 及 系统 平台 已 经 不 能 满足 应 
用 需求 ,从 保障 业务 系统 高 效 、 稳 定 和 安全 运行 等 方面 考虑 ,必须 升级 优化 现 有 系统 ,其 中 提 


网 络 安全 技术 


260 


高 网 络 的 安全 性 是 重 中 之 重 。 

该 公司 信息 系统 基础 设施 包括 电力 系统 网 络 、 局 域 网 和 互联 网 三 个 部 分 。 电 力 系统 网 
络 是 承载 该 公司 与 各 个 子 公司 内 部 业务 交流 的 核心 平台 ,局 域 网 是 该 公司 内 部 日 常 办 公 的 
主要 载体 ,外 部 信息 的 获取 和 发 布 通过 互联 网 来 完成 。 

该 公司 的 局 域 网 核心 交换 机 为 千 兆 交换 机 Cisco Catalyst, 下 联 若 干 台 百 兆 交换 机 , 均 
为 Cisco Catalyst 3524XL/3550 系列 交换 机 ,并 划分 了 多 个 VLAN; 在 网 络 出 口 处 ,该 公司 
通过 Cisco 7401 交换 机 与 Internet 连接 ,Internet 接 人 边界 有 最 基本 的 安全 设备 ,一 台 硬 件 
防火 墙 和 一 台 VPN 设备 。 

公司 提供 包括 WWW、SMTP、FTP 等 互联 网 应 用 服务 ,目前 开设 了 一 个 内 部 信息 发 布 、 员 
工交 流 站 点 和 一 个 对 外 展示 企业 形象 的 站 点 ,公司 还 架设 了 一 个 供 300 多 人 使 用 的 邮件 系统 。 
同时 公司 还 拥有 很 多 的 重要 应 用 系统 ,其 中 包括 企业 OA 系统 和 各 种 信息 管理 系统 。 

目前 大 流量 的 应 用 主要 集中 在 局 域 网 内 ,因此 局 域 网 的 压力 很 大 ;大 部 分 的 应 用 必须 跨 
广域网 ,但 由 于 应 用 刚刚 起 步 ,因此 跨 广 域 网 的 流量 不 很 大 , 随 着 信息 化 建设 的 逐步 深入 , 广 
域 网 潜在 的 瓶颈 将 会 严重 影响 应 用 的 普及 ;公司 与 各 个 子 公司 之 间 以 VPN 相连 。 

1. 安全 需求 分 析 

用 户 目 前 主要 的 管理 信息 系统 包括 EAM (企业 设备 管理 系统 Enterprise Asset 
Management) ,财务 系统 、 生 产 调度 系统 、 办 公 自 动 化 系统 和 生产 调度 监视 系统 等 。 这 些 关键 
系统 同时 运行 在 该 公司 统一 的 电力 系统 网 络 平台 之 上 ,系统 之 间 存 在 业务 逻辑 交叉 和 数据 交 
换 , 因 此 系统 的 安全 具有 很 大 的 关联 性 ,特别 是 对 于 互联 网 接 入 的 安全 需要 特别 的 关注 。 

经 过 一 段 时间 的 检测 分 析 发 现 , 该 用 户 网 络 主要 存在 如 下 威胁 : 

(1) 网 上 存在 大 量 的 端口 扫描 试探 ,发 送 垃圾 邮件 等 网 络 滥用 行为 。 

(2) 发 现 部 分 主机 由 于 未 及 时 安装 补丁 程序 或 设置 不 当 、` 口 令 强 度 不 够 等 原因 而 被 黑 
客人 侵 ,并 被 安装 后 门 程序 。 

(3) 拒绝 服务 攻击 发 生 频 率 不 高 ,但 一 般 影响 较 大 。 

(4) 蠕虫 病 毒 传播 和 泛滥 ,危害 不 可 小 视 。 

2. 部 署 实施 策略 

尽管 防火 墙 能 够 通过 强化 网 络 安全 策略 抵御 来 自 外 部 网 络 的 非法 访问 ,但 对 网 络 内 部 
发 起 的 攻击 无 能 为 力 。 为 此 ,采用 了 榨 基 基于 网 络 的 实时 入 侵 检 测 技术 ,动态 监测 来 自 于 外 
部 网 络 和 内 部 网 络 的 所 有 访问 行为 。 当 检测 到 来 自 内 外 网 络 针对 或 通过 防火 墙 的 攻击 行 
为 ,会 及 时 响应 ,并 通知 防火 墙 实 时 阻 断 攻击 源 , 从 而 进一步 提高 了 系统 的 抗 攻击 能 力 , 更 有 
效 地 保护 了 网 络 资源 ,提高 了 防御 体系 级 别 。 

入 侵 检测 系统 可 以 和 防火 墙 获取 相同 的 网 络 数据 , 当 和 侵 检测 系统 发 现 异常 攻击 时 , 立 
即 通知 防火 墙 ,防火 墙 迅 速 做 出 反应 阻止 当前 攻击 事件 的 继续 ,从 而 使 得 攻击 失败 ,这 样 的 
防御 体系 能 够 对 攻击 作出 实时 的 防御 ,达到 安全 处 理应 急事 件 的 目的 。 目 前 榕 基 RJ-IDS 
入 侵 检测 系统 已 经 可 以 和 市 场 上 大 部 分 主流 防火 墙 (超过 20 种 ) 进 行 联动 阻 断 入 侵 者 ,如 天 
融 信 、 东 软 、 亿 阳 、 三 星 等 。 

根据 用 户 网 络 的 实际 状况 ,在 千 兆 主干 网 络 上 部 署 了 具备 超 强 检 测 能 力 的 千 兆 型 网 络 
人 入侵 检测 系统 榕 基 RJ-IDS 1000-F, 以 此 检测 逃避 防火 墙 拦截 的 攻击 流 。 在 内 部 网 段 上 ,由 
于 最 可 能 受到 的 是 来 自 内 部 人 员 的 攻击 和 内 置 木马 病毒 的 攻击 ,所 以 在 各 个 VLAN 内 部 部 
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署 百 兆 型 网 络 人 侵 检测 系统 RJ-IDS 100, 随 时 检测 内 部 的 网 络 威胁 。 

榕 基 RJ-IDS 入 侵 检测 系统 是 一 个 分 布 式 的 基于 B/S 的 网 络 入 侵 检 测 系 统 。 分 布 式 的 
结构 利于 应 用 的 扩展 ,B/S 结构 应 用 在 网 络 环境 中 非常 方便 。 实 时 地 将 告警 日 志 按 各 种 条 
件 进 行 分 类 有 助 于 帮助 管理 员 迅 速 地 发 现 某 些 特定 攻击 。 榕 基 RJ-IDS 入 侵 检测 系统 可 以 
按 多 种 标准 动态 地 切换 告警 日 志 的 分 类 ,包括 高 .中 、 低 风险 、 资 产 等 ,对 历史 攻击 事件 可 以 
进行 事件 分 析 综 合 查询 。 

经 过 一 段 时 间 的 运行 , 榕 基 RJ-IDS 入 侵 检测 系统 在 防范 外 部 攻击 和 阻止 内 部 非法 访 
问 方面 取得 了 良好 的 成 效 , 根 据 统 计 分 析 后 的 数据 显示 ,部 署 后 该 用 户 的 网 络 安全 状态 得 到 
了 极 大 的 改善 ,网 络 中 信息 流通 更 加 畅通 ,企业 员工 的 满意 度 很 高 。 


8.4.3 人 侵 检 测 特征 库 的 建立 与 应 用 


特征 (signature) 的 基本 概念 : IDS 中 的 特征 一 般 指 用 于 判别 通信 信息 种 类 的 特征 数 
据 ,以 下 是 一 些 典型 情况 及 识别 方法 : 

CD 来 自 保留 IP 地 址 的 连接 企图 : 可 通过 检查 IP 报头 (IP header) 的 来 源 地 址 轻易 地 
识别 。 

(2) 带 有 非法 TCP 标识 的 数据 包 : 可 通过 对 比 TCP 报头 中 的 标志 集 与 已 知 正确 和 错 
误 标记 的 不 同 点 来 识别 。 

(3) 含有 特殊 病毒 信息 的 E-mail: 可 通过 对 比 每 封 E-mail 的 主题 信息 和 病态 E-mail 
的 主题 信息 来 识别 ,或 者 通过 搜索 特定 名 字 的 附件 来 识别 。 

CD 查询 负载 中 的 DNS 缓冲 区 溢出 企图 : 可 通过 解析 DNS 域 及 检查 每 个 域 的 长 度 来 
识别 利用 DNS 域 的 缓冲 区 溢出 企图 ;还 有 另外 一 个 识别 方法 是 ,在 负载 中 搜索 “ 壳 代 码 利 
用 ”(exploit shellcode) 的 序列 代码 组 合 。 

(5) 针对 POP3 服务 器 的 DoS 攻击 : 通过 跟踪 记录 某 个 命令 连续 发 出 的 次 数 ,看 看 是 
否 超过 了 预 设 上 限 , 而 发 出 报警 信息 。 

(6) 未 登录 情况 下 使 用 文件 和 目录 命令 对 FTP 服务 器 的 文件 访问 攻击 : 通过 创建 具备 
状态 跟踪 的 特征 数据 以 监视 成 功 登录 的 FTP 对 话 ,发 现 未 经 验证 却 发 命令 的 入侵 企图 。 

从 以 上 分 类 可 以 看 出 特征 的 涵盖 范围 很 广 , 有 简单 的 报头 域 数 值 ` 有 高 度 复 杂 的 连接 状 
态 跟踪 有 扩展 的 协议 分 析 o 

用 户 需要 知道 的 是 ,不 同 的 IDS 产品 具有 的 特征 功能 也 有 所 差异 。 如 有 些 网 络 IDS 系 
统 只 人 允许 少量 定制 存在 的 特征 数据 或 者 编写 需要 的 特征 数据 ,另外 一 些 则 人 允许 在 很 宽 的 范 
围 内 定制 或 编写 用 户 需 求 的 特征 数据 ,甚至 可 以 是 任意 特征 ;再 则 一 些 IDS 系统 只 能 检查 
确定 的 报头 或 负载 数值 ,另外 一 些 则 可 以 获取 任何 信息 包 的 任何 位 置 的 数据 。 

特征 是 检测 数据 包 中 的 可 疑 内 容 是 否 存 在 攻击 行为 的 对 照 物 。IDS 系统 本 身 已 经 拥有 
了 特征 库 , 为 什么 还 需要 定制 或 编写 特征 呢 ? 笔者 以 为 ,也 许 你 经 常 看 到 一 些 熟 悉 的 通信 信 
息 流 在 网 络 上 游荡 ,由 于 IDS 系统 的 特征 数据 库 滞 后 或 者 这 些 通信 信息 本 身 就 不 是 攻击 或 
探测 数据 ,IDS 系统 并 不 会 十 分 关注 这 样 的 信息 ,但 身 为 网 络 的 管理 员 ,必须 对 这 样 的 可 疑 
数据 提高 警惕 ,因此 需要 指定 一 些 特征 样本 ,捕捉 它们 、 仔 细 分 析 它 们 从 何 而 来 ,目的 又 是 什 
么 。 因 此 唯一 的 办 法 就 是 对 现 有 特征 数据 库 进行 一 些 定制 配置 或 者 编写 新 的 特征 数据 。 

特征 的 定制 或 编写 程度 可 粗 可 细 , 完 全 取决 于 实际 需求 。 或 者 是 只 判断 是 否 发 生 了 异 
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常 行 为 而 不 确定 具体 是 什么 攻击 ,从 而 节省 资源 和 时 间 ; 或 者 是 判断 出 具体 的 攻击 手段 或 漏 
洞 利用 方式 ,从 而 获取 更 多 的 信息 。 

报头 值 (header values) : 报头 值 的 结构 比较 简单 ,而且 可 以 很 清楚 地 识别 出 异常 报头 
信息 ,因此 在 编写 特征 数据 时 ,首先 想到 的 就 是 它 。 一 个 经 典 的 例子 是 : 明显 违背 RFC793 
中 规定 的 TCP 标准、 设置 了 SYN 和 FIN 标记 的 TCP 数据 包 。 这 种 数据 包 被 许多 人 侵 软 
件 采 用 ,向 防火 墙 . 路 由 器 以 及 IDS 系统 发 起 攻击 。 

异常 报头 值 的 来 源 有 以 下 几 种 : 因为 大 多 数 操作 系统 和 应 用 软件 都 是 在 假定 RFC 被 
严格 遵守 的 情况 下 编写 的 ,没有 添加 针对 异常 数据 的 错误 处 理 程序 ,所 以 许多 包含 报头 值 的 
漏洞 利用 都 会 故意 违反 RFC 的 标准 定义 。 许 多 包含 错误 代码 的 不 完善 软件 也 会 产生 违反 
RFC 定义 的 报头 值 数据 。 并 非 所 有 的 操作 系统 和 应 用 程序 都 能 全 面 拥护 RFC 定义 ,至 少 
会 存在 一 个 方面 与 RFC 不 协调 。 当 然 随 着 时 间 推 移 , 技 术 的 不 断 创 新 ,执行 新 功能 的 协议 
可 能 不 被 包含 于 现 有 RFC 中 。 

由 于 以 上 几 种 情况 ,严格 基于 RFC 的 IDS 特征 数据 就 有 可 能 产生 漏 报 或 误 报 效果 。 对 
此 ,RFC 也 随 着 新 出 现 的 违反 信息 而 不 断 进 行 着 更 新 ,这 就 需要 定期 地 回顾 或 更 新 存在 的 
特征 数据 定义 ,及 时 发 现 不 足 。 

非法 报头 值 是 特征 数据 的 一 个 非常 基础 的 部 分 ,合法 但 可 疑 的 报头 值 也 同等 重要 。 例 
如 ,如 果 存 在 到 端口 4354 或 7637 的 可 疑 连接 ,就 可 能 存在 木马 活动 ;再 附加 上 其 他 更 详细 
的 探测 信息 ,就 能 够 进一步 地 判断 是 否 真 的 存在 木马 。 

1. 确定 特征 数据 的 候选 对 象 

为 了 更 好 地 理解 如 何 开发 基于 报头 值 的 特殊 数据 ,下 面 通过 分 析 一 个 实例 的 进行 详细 
WIE. 

Synscan 是 一 个 流行 的 用 于 扫描 和 探测 系统 的 工具 , 它 发 出 的 信息 包 具 有 多 种 可 分 辩 
的 特性 ,包括 : 

。 不 同 的 来 源 IP 地 址 信息 : TCP 来 源 端 口 21 .目标 端口 21。 

。 服务 类 型 。 

* [P 鉴定 号 码 39426(IP identification number) 。 

。 设置 SYN FI FIN 标志 位 。 

。 不 同 的 序列 号 集合 (sequence numbers set) 。 

。 不 同 的 确认 号 码 集合 (acknowledgment numbers set) 。 

* TCP 窗口 大 小 为 1028 。 

我 们 对 以 上 这 些 数据 进行 筛选 ,看 看 哪个 比较 合适 做 特征 数据 。 我 们 要 寻找 的 是 非法 、 
异常 或 可 疑 数据 ,大 多 数 情况 下 ,这 都 反映 出 攻击 者 利用 的 漏洞 或 者 他 们 使 用 的 特殊 技术 。 

以 下 是 特征 数据 的 候选 对 象 : 

(1) 只 具有 SYN 和 FIN 标志 集 的 数据 包 , 这 是 公认 的 恶意 行为 迹象 。 

(2) RARE ACK 标志 ,但 却 具有 不 同 确认 号 码 数值 的 数据 包 , 而 正常 情况 应 该 是 0。 

(3) 来 源 端 口 和 目标 端口 都 被 设置 为 21 的 数据 包 , 经 常 与 FTP 服务 器 关联 。 这 种 端 
口 相 同 的 情况 一 般 被 称 为 reflexive, 除 了 个 别 时 候 如 进行 一 些 特别 NetBIOS 通信 外 ,正常 
情况 下 不 应 该 出 现 这 种 现象 。reflexive 端口 本 身 并 不 违反 TCP 标准 ,但 大 多 数 情况 下 它们 
并 非 预期 数值 。 例 如 在 一 个 正常 的 FTP 对 话 中 ,目标 端口 一 般 是 21 ,而 来 源 端口 通常 都 高 
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于 1023, 

(4) TCP 窗口 大 小 为 1028,IP 鉴定 号 码 在 所 有 数据 包 中 为 39426。 根 据 IP RFC 的 定 
义 , 这 两 类 数值 应 在 数据 包间 有 所 不 同 ,因此 ,如 果 持 续 不 变 , 就 表明 可 疑 。 

从 以 上 4 个 候选 特征 对 象 中 .可 以 单独 选 出 一 项 作为 基于 报头 的 特征 数据 ,也 可 以 选 出 
多 项 组 合作 为 特征 数据 。 

选择 一 项 数据 作为 特征 有 很 大 的 局 限 性 。 例 如 一 个 简单 的 特征 可 以 是 只 具有 SYN 和 
FIN 标志 的 数据 包 , 虽 然 这 可 以 很 好 地 提示 我 们 可 能 有 一 个 可 疑 的 行为 发 生 , 但 却 不 能 给 出 
为 什么 会 发 生 的 更 多 信息 。SYN 和 FIN 通常 联合 在 一 起 攻击 防护 墙 和 其 他 设备 ,只 要 有 
它们 出 现 , 就 预示 着 扫描 正在 发 生 , 信 息 正在 收集 ,攻击 将 要 开始 。 但 仅仅 这 些 而 已 ,我 们 需 
要 的 是 更 多 的 细节 资料 。 

选择 以 上 4 项 数据 联合 作为 特征 也 不 现实 ,因为 这 显得 有 些 太 特殊 了 ,而 且 可 能 占有 太 
多 的 系统 资源 。 尽 管 能 够 精确 地 提供 行为 信息 ,但 是 比 仅仅 使 用 一 个 数据 作为 特征 而 言 ,会 
显得 远 远 缺 乏 效率 。 实 际 上 ,特征 定义 永远 要 在 效率 和 精确 度 间 取得 折 中 。 大 多 数 情况 下 ， 
简单 特征 比 复杂 特征 更 倾向 于 误 报 (false positives) ,因为 前 者 很 普遍 ;复杂 特征 比 简单 特征 
更 倾向 于 漏 报 (false negatives) ,因为 前 者 太 过 全 面 ,攻击 软件 的 某 个 特征 会 随 着 时 间 的 推 
进而 变化 。 

多 也 不 行 , 少 亦 不 可 ,完全 应 由 实际 情况 决定 。 例 如 ,我 们 想 判 断 攻 击 可 能 采用 的 工具 
是 什么 ,那么 除了 SYN A FIN 标志 以 外 ,还 需要 什么 其 他 属性 ?”“ 反 身 ” 端 口 虽然 可 疑 , 但 
是 许多 工具 都 使 用 到 它 ,而 且 一 些 正 常 通信 也 有 此 现象 ,因此 不 适宜 选 为 特征 。TCP 窗口 
大 小 1028 尽管 有 一 点 可 疑 , 但 也 会 自然 的 发 生 。IP 鉴定 号 码 39426 也 一 样 。 没 有 ACK 标 
志 的 ACK 数值 很 明显 是 非法 的 ,因此 非常 适 于 选 为 特征 数据 。 当 然 , 根 据 环境 的 不 同 ,及 
时 地 调整 或 组 合 特征 数据 , 才 是 达到 最 优 效 果 的 不 二 法 门 。 

接 下 来 我 们 创建 一 个 特征 ,用 于 寻找 并 确定 synscan 发 出 的 每 个 TCP 信息 包 中 的 以 下 
属性 : 

。 只 设置 了 SYN 和 FIN 标志 。 

。 IP 鉴定 号 码 为 39 426。 

。 TCP 窗口 大 小 为 1028。 

第 一 个 项 目 已 经 十 分 普遍 ,第 二 个 和 第 三 个 项 目 联合 出 现在 同一 数据 包 的 情况 不 很 多 ， 
因此 ,将 这 三 个 项 目 组 合 起 来 就 可 以 定义 一 个 详细 的 特征 了 。 再 加 上 其 他 的 synscan 属性 
不 会 显著 地 提高 特征 的 精确 度 ,只 能 增加 资源 的 耗费 。 到 此 ,判别 synscan 软件 的 特征 如 此 
就 创建 完毕 了 。 

2. 扩展 ,创建 识别 更 多 异常 通信 的 特征 

以 上 创建 的 特征 可 以 满足 对 标准 synscan 软件 的 探测 了 。 但 synscan 可 能 存在 多 种 变 
化 ,而 其 他 工具 也 可 能 是 随时 改变 的 ,这 样 上 述 建立 的 特征 必然 不 能 将 它们 一 一 识别 。 这 时 
就 需要 结合 使 用 特殊 特征 和 通用 特征 ,才能 创建 一 个 更 好 、 更 全 面 的 解决 方案 。 如 果 一 个 人 
侵 检测 特征 既 能 揭示 已 知 威胁 ,还 能 预测 潜在 威胁 ,这 样 会 大 大 提高 IDS 的 性 能 。 

首先 看 一 个 “变脸 ”synscan 所 发 出 的 数据 信息 特征 。 

它 只 设置 了 SYN 标志, 纯 属 正常 的 TCP 数据 包 特 征 。 

TCP 窗口 大 小 总 是 40KB, 而 不 是 1028KB。40KB 是 初始 SYN 信息 包 中 一 个 罕见 的 
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小 窗口 所 占 容量 , 比 正常 的 数值 1028KB 少见 得 多 。 

“ 反 身 ”端口 数值 为 53 而 不 是 21。 老 版 本 的 BIND 使 用 “ 反 身 ”端口 用 于 特殊 操作 ,新 
版 本 BIND 则 不 再 使 用 它 , 因 此 ,经 常 看 到 这 个 信息 会 让 我 们 睁 大 怀疑 的 眼睛 。 

以 上 三 种 数据 与 标准 synscan 产生 的 数据 有 很 多 相似 出 ,因此 可 以 初步 推断 产生 它 的 
工具 或 者 是 synscan 的 不 同 版 本 ,或 者 是 其 他 基于 synscan 代码 的 工具 。 显 然 , 前 面 定义 的 
特征 已 经 不 能 将 这 个 “变脸 ”识别 出 来 ,因为 三 个 特征 子 项 已 经 面目 全 非 。 这 时 ,我 们 可 以 采 
取 三 种 方法 : 

(1) 再 单独 创建 一 个 匹配 这 些 内 容 的 特殊 特征 。 

(2) 调整 我 们 的 探测 目标 ,只 关注 普通 的 异常 行为 ,而 不 是 特殊 的 异常 行为 ,创建 识别 
普通 异常 行为 的 通用 特征 。 

(3) 前 两 种 方法 都 创建 , 既 全 面 撤 网 ,也 重点 垂钓 ,真实 的 罪犯 必 抓 ,可 疑 的 分 子 也 
别 跑 。 

通用 特征 可 以 创建 : 

。 没有 设置 确认 标志 ,但 是 确认 数值 却 非 0 的 TCP 数据 包 。 

。 只 设置 了 SYN FIN 标志 的 TCP 数据 包 。 

。 初始 TCP 窗口 大 小 低 于 一 定数 值 的 TCP 数据 包 。 

使 用 以 上 的 通用 特征 ,上 面 提 到 过 的 两 种 异常 数据 包 都 可 以 有 效 地 识别 出 来 。 

当然 ,如 果 需 要 更 加 详细 地 探测 ,再 在 这 些 通 用 特征 的 基础 上 添加 一 些 个 性 数据 就 可 以 
创建 出 一 个 特殊 特征 来 。 还 是 那个 观点 ,创建 什么 样 的 特征 、 创 建 哪 些 特征 ,取决 于 实际 需 
求 , 实 践 是 检测 创建 何 种 特征 的 唯一 标准 吗 。 

报头 值 关键 元 素 小 结 ,信息 包 种 类 检查 分 析 : 

从 上 面 讨论 的 例子 中 ,可 以 看 到 可 用 于 创建 IDS 特征 的 多 种 报头 值 信息 。 通 常 ,最 有 
可 能 用 于 生成 报头 相关 特征 的 元 素 为 以 下 几 种 : IP 地 址 、 特 别 保留 地 址 、 非 路 由 地 址 、 广 播 
地 址 。 

。 不 应 被 使 用 的 端口 号 ,特别 是 众所周知 的 协议 端口 号 和 木马 端口 号 。 

。 异常 信息 包 片 段 。 

。 特殊 TCP 标志 组 合 值 。 

。 不 应 该 经 常 出 现 的 ICMP 字 节 或 代码 。 

知道 了 如 何 使 用 基于 报头 的 特征 数据 , 接 下 来 要 确定 的 是 检查 何 种 信息 包 。 确 定 的 标 
准 依然 是 根据 实际 需求 而 定 。 因 为 ICMP 和 UDP 信息 包 是 无 状态 的 ,所 以 大 多 数 情况 下 ， 
需要 对 它们 的 每 一 个 属性 都 进行 检查 。 而 TCP 信息 包 是 有 连接 状态 的 ,因此 有 时 候 可 以 只 
检查 连接 中 的 第 一 个 信息 包 。 例 如 , 像 IP 地 址 和 端口 这 样 的 特征 将 在 连接 的 所 有 数据 包 中 
保持 不 变 , 只 对 它们 检查 一 次 就 可 放心 。 其 他 特征 如 TCP 标志 会 在 对 话 过 程 的 不 同 数据 包 
中 有 所 不 同 , 如 果 要 查找 特殊 的 标志 组 合 值 , 就 需要 对 每 一 个 数据 包 进 行 检查 。 检 查 的 数量 
越 多 ,消耗 的 资源 和 时 间 也 就 越 多 。 

另外 我 们 还 要 了 解 一 点 : 关注 TCP、UDP 或 者 ICMP 的 报头 信息 要 比 关注 DNS 报头 
信息 更 方便 。 因 为 TCP、UDP 以 及 ICMP 都 属于 IP 协议 ,它们 的 报头 信息 和 载荷 信息 都 位 
于 IP 数据 包 的 payload 部 分 ,比如 要 获取 TCP 报头 数值 ,首先 解析 TP 报头 ,然后 就 可 以 判 
断 出 这 个 载荷 的 父 类 是 TCP。 而 像 DNS 这 样 的 协议 , 它 又 包含 在 UDP 和 TCP 数据 包 的 
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载荷 中 ,如 果 要 获取 DNS 的 信息 ,就 必须 深入 2 层 才能 看 到 真面目 。 而且, 解析 此 类 协议 还 
需要 更 多 更 复杂 的 编程 代码 ,完全 不 如 TCP 等 简单 。 实 际 上 ,这 个 解析 操作 也 正 是 区 分 不 
同 协 议 的 关键 所 在 ,评价 IDS 系统 的 好 坏 也 体现 在 是 否 能 够 很 好 地 分 析 更 多 的 协议 。 


8.5 典型 入 侵 检 测 产 品 简介 


8.5.1 人 侵 检 测 工 具 Snort 


Snort 是 目前 应 用 最 为 广泛 的 一 个 IDS 产品 , 它 被 定位 为 一 个 轻 量 级 的 入 侵 检测 系统 ， 
它 具 有 以 下 几 个 特点 : 

CD 它 是 一 个 轻 量 级 的 网 络 入 侵 检测 系统 ,所 谓 轻 量 级 是 指 该 软件 在 运行 时 只 占用 极 
少 的 网 络 资源 ,对 原 有 网 络 性 能 影响 很 小 。 

(2) 从 数据 来 源 上 看 , 它 是 一 个 基于 网 络 人 侵 的 检测 软件 , 即 它 作 为 嗅 探 器 对 发 往 同 一 
网 络 的 其 他 主机 的 流量 进行 捕获 ,然后 进行 分 析 。 

G) 它 的 工作 采用 误 用 检测 模型 , 即 首先 建立 入侵 行为 特征 库 , 然 后 在 检测 过 程 中 ,将 
收集 到 的 数据 包 和 特征 代码 进行 比较 ,以 得 出 是 否 人 侵 的 结论 。 

(4) 它 是 用 C 语 言 编写 的 开放 源 代码 网 络 入 侵 检 测 系统 。 其 源 代码 可 以 被 自由 的 读 
取 、 传 播 和 修改 ,任何 一 个 程序 员 都 可 以 自由 地 为 其 添加 功能 ,修改 错误 ,任意 传播 。 这 使 它 
能 迅速 发 展 完善 并 推广 应 用 。 

(5) 它 是 一 个 跨 平 台 的 软件 ,所 支持 的 操作 系统 非常 广泛 ,有 Windows, Linux, Sun OS 
等 。 在 Windows 下 安装 比较 简单 : 首先 下 载 Windows 下 网 络 数据 包 捕 获 工 具 winpcap 
(www. winpcap. org) ,然后 下 载 Snort 安装 包 , 直 接 双 击 安 装 即 可 。 

(6) Snort 有 三 种 主要 模式 : 信息 包 嗅 探 器 ,信息 包 记 录 器 或 成 熟 的 入 侵 探测 系统 。 

Snort 的 一 些 功能 : 

。 实时 通信 分 析 和 信息 包 记 录 。 

。 包装 有 效 载荷 检查 。 

。 协议 分 析 和 内 容 查 询 匹 配 。 

。 探测 缓冲 溢出 ,秘密 端口 扫描 、CGI 攻击 、SMB 探测 .操作 系统 入 侵 尝 试 。 

。 对 系统 日 志 、 指 定 文件 .UNIX socket 或 通过 Samba 的 winpopus 进行 实时 报警 。 

当 采 用 入 侵 检测 模式 时 ,必须 载 和 规则 库 才 能 进行 检测 , 载 和 规则 库 后 ,Snort 网 络 数 
据 和 规则 集 进行 模式 匹配 ,从 而 检测 可 能 的 入 侵 企 图 。 


8.5.2 Cisco 公司 的 NetRanger 


1996 年 3 月 ,WheelGroup 基于 多 年 的 业界 经 验 推出 了 NetRanger。 产 品 分 为 两 部 分 : 
监测 网 络 包 和 发 告警 的 传感器 ,以 及 接收 并 分 析 告 警 和 启动 对 策 的 控制 器 。 

另外 ,至 少 还 需要 一 台 奔 腾 级 的 PC 来 运行 传感器 程序 ,一 台 Sun SparcStation 通过 
OpenView 或 NetView 来 运行 控制 器 程序 。 两 者 都 运行 Sun 的 Solaris. 

NetRanger 以 其 高 性 能 而 闻名 ,而 且 它 还 非常 易于 裁剪 。 控 制 器 程序 可 以 综合 多 站 点 
的 信息 并 监视 散布 在 整个 企业 网 上 的 攻击 。NetRanger 的 最 大 名 声 在 于 其 是 针对 企业 而 设 
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计 的 。 这 种 名 声 的 标志 之 一 是 其 分 销 渠 道 ,EDS、Perot Systems, IBM Global Services 都 是 
其 分 销 商 。 

NetRanger 在 全 球 广域网 上 运行 很 成 功 。 例 如 , 它 有 一 个 路 径 备 份 (Path-doubling) 功 
能 。 如 果 一 条 路 径 断 掉 了 ,信息 可 以 从 备份 路 径 上 传 过 来 。 它 其 至 能 做 到 从 一 个 点 上 监测 
全 网 或 把 监测 权 转 给 第 三 方 。 

NetRanger 的 男 一 个 强项 是 其 在 检测 问题 时 不 仅 观察 单个 包 的 内 容 , 而 且 还 看 上 下 文 ， 
即 从 多 个 包 中 得 到 线索 。 这 是 很 重要 的 一 点 ,因为 入 侵 者 可 能 以 字符 模式 存 取 一 个 端口 , 然 
后 在 每 个 包 中 只 放 一 个 字符 。 如 果 一 个 监测 器 只 观察 单个 包 , 它 就 永远 不 会 发 现 完整 的 
信息 。 

按照 GartnerGroup 公司 的 研究 专家 Jude O'Reilley 的 说 法 ,NetRanger 是 目前 市 场 上 
基于 网 络 的 人 侵 检 测 软件 中 经 受 实践 考验 最 多 的 产品 之 一 。 

但 是 ,对 于 某 些 用 户 来 讲 ,NetRanger 的 强项 也 可 能 正好 是 其 不 足 。 它 被 设计 为 集成 在 
OpenView 或 NetView 下 ,在 网 络 运行 中 心 C(NOC) 使 用 ,其 配置 需要 对 UNIX 有 详细 的 了 
解 。NetRanger 相对 较 昂 贵 ,这 对 于 一 般 的 局 域 网 来 讲 未 必 很 适合 。 


8.5.3 Network Associates 公司 的 CyberCop 


Network Associates 公司 是 1977 年 由 以 做 Sniffer 类 探测 器 闻名 的 Network General 
公司 与 以 做 反 病 毒 产 品 为 专业 的 McAfee Associates 公司 合并 而 成 的 。NetWork 
Associates 从 Cisco 那里 取得 授权 ,将 NetRanger 的 引擎 和 攻击 模式 数据 库 用 在 
CyberCop 中 。 

CyberCop 基本 上 可 以 认为 是 NetRanger 的 局 域 网 管理 员 版 。 这 些 局 域 网 管理 员 正 是 
NetWork Associates 的 主要 客户 群 。 其 软件 价格 比 NetRanger 还 贵 :传感器 为 9000 美元 ， 
服务 器 上 的 控制 器 为 15 000 美元 。 但 其 平台 却 可 以 是 运行 Solaris 2. 5. 1 的 Dell PC( 通 常 
CyberCop 是 预 装 在 里 面 的 )。 运 行 传感器 的 平台 一 般 要 3000 美元 ,控制 器 的 平台 要 5000 
美元 。 

另外 ,CyberCop 被 设计 成 一 个 网 络 应 用 程序 ,一 般 在 20 分 钟 内 就 可 以 安装 完毕 。 它 预 
设 了 6 种 通常 的 配置 模式 :Windows NT 和 UNIX 的 混合 子 网 .UNIX 子 网 NT 子 网 .远程 
访问 ,前沿 网 (如 Internet 的 接 人 系统 ) 和 骨干 网 。 它 没有 Netware 的 配置 。 

前 端 设 计 成 浏览 器 方式 主要 是 考虑 易于 使 用 ,发 挥 Network General 在 提炼 包 数 据 上 
的 经 验 , 用 户 使 用 时 也 易于 查看 和 理解 。 像 在 Sniffer 中 一 样 , 它 在 帮助 文档 里 结合 了 专家 
知识 。CyberCop 还 能 生成 可 以 被 Sniffer 识别 的 踪迹 文件 。 与 NetRanger 相 比 ,CyberCop 
缺乏 一 些 企业 应 用 的 特征 ,如 路 径 备 份 功能 等 。 

按照 CyberCop 产品 经 理 Katherine Stolz 的 说 法 ,Network Associates 公司 在 安全 领域 将 
有 一 系列 的 举措 和 合作 。“ 我 们 定位 在 大 规模 的 安全 上 ,我们 将 成 为 整体 解决 方案 的 提供 者 。” 


8.5.4 Internet Security System 公司 的 RealSecure 


RealSecure 的 优势 在 于 其 简洁 性 和 低 价 格 。 与 NetRanger 和 CyberCop 25 fil. 
RealSecure 在 结构 上 也 是 两 部 分 。 引 擎 部 分 负责 监测 信息 包 并 生成 告警 .控制 台 接 收报 警 
并 作为 配置 及 产生 数据 库 报告 的 中 心 点 。 两 部 分 都 可 以 在 NT, Solaris, Sun OS 和 Linux 
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上 运行 ,并 可 以 在 混合 的 操作 系统 或 匹配 的 操作 系统 环境 下 使 用 。 它 们 都 能 在 商用 微机 上 
运行 。 

对 于 一 个 小 型 的 系统 ,将 引擎 和 控制 台 放 在 同一 台 机 器 上 运行 是 可 以 的 ,但 这 对 于 
NetRanger 或 CyberCop 却 不 行 。 一 个 引擎 可 以 向 多 个 控制 台 报告 ,一 个 控制 台 也 可 以 管 
理 多 个 引擎 。 

RealSecure 可 以 对 CheckPoint Software 的 FireWall-1 重新 进行 配置 。 


8.5.5 中 科 网 威 的 “天眼” 入侵 检测 系统 


中 科 网 威信 息 技 术 有 限 公 司 的 天眼” 入 侵 检 测 系 统 “ 火 眼 ” 网 络 安全 漏洞 检测 系统 是 
国内 少 有 的 几 个 入 侵 检测 系统 之 一 。 它 根据 国内 网 络 的 特殊 情况 ,由 中 国 科 学 院 网 络 安全 
关键 技术 研究 组 经 过 多 年 研究 ,综合 运用 了 多 种 检测 系统 成 果 制 研 成 功 的 。 它 根据 系统 的 
安全 策略 作出 反应 ,实现 了 对 非法 入 侵 的 定时 报警 、 记 录 事 件 , 方 便 取 证 ,自动 阻 断 通信 和 连 
接 , 重 置 路 由 器 、 防 火 墙 ,同时 及 时 发 现 并 及 时 提出 解决 方案 , 它 可 列 出 可 参考 的 全 热 链接 网 
络 和 系统 中 易 被 黑客 利用 和 可 能 被 黑客 利用 的 薄弱 环节 ,防范 黑客 攻击 。 该 系统 的 总 体 技 
术 水 平 达到 了 “国际 先进 水 平 ” 


8.6 ”案例 一 一 Snort 的 安装 与 使 用 


1. Snort 安装 模式 

Snort 可 简单 安装 为 守护 进程 模式 ,也 可 安装 为 包括 很 多 其 他 工具 的 完整 的 入 侵 检测 
系统 。 

简单 方式 安装 时 ,可 以 得 到 入 侵 数据 的 文本 文件 或 二 进 制 文件 ,然后 用 文本 编辑 器 等 工 
有 具 进行 查看 。 

Snort 若 与 其 他 工具 一 起 安装 , 则 可 以 支持 更 为 复杂 的 操作 。 例 如 ,将 Snort 数据 发 送 
给 数据 库 系 统 , 从 而 支持 通过 Web 界面 进行 数据 分 析 , 以 增强 对 Snort 捕获 数据 的 直观 认 
识 ,避免 耗费 大 量 时 间 查 阅 星 涩 的 日 志文 件 。 

2. Snort 的 简单 安装 

Snort 的 安装 程序 可 以 在 Snort 官方 网 站 http://www. snort. org 上 获取 。 

(1) 安装 Snort 

Snort 必须 要 有 libpcap 库 的 支持 ,在 安装 前 需 确 认 系统 已 经 安装 了 libpcap 库 。 


[root@ mail snort- 2.8.0]#./configure - enable- dynamicplugin 

[root mail snort- 2.8.0]4make 

[root mail snort- 2.8.0] make install 

(2) 更 新 Snort 规则 

下 载 最 新 的 规则 文件 snortrulesssnapshot-CURRENT. tar. gz。 其 中 ,CURRENT 表示 
最 新 的 版 本 号 。 

[root@ mail snort]#mkdir /etc/snort 

[root@ mail snort]#cd /etc/snort 
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[root@ mail snort]#tar zxvf /path/to/snortrules- snapshot- CURRENT.tar.gz 
(3) 配置 Snort 

建立 config 文件 目录 : 

[root@ mil snort- 2.8.0]#mkdir /etc/snort 

复制 Snort 配置 文件 snort. conf 到 Snort 配置 目录 : 

[root@ mail snort- 2.8.0]fcp ./etc/snort.conf /etc/snort/ 

编辑 snort. conf: 

[root@ mail snort- 2.8.0]#vi /etc/snort/snort.conf 

修改 后 ,一些 关键 设置 如 下 ; 


var HME NET yournetwork 

var RUIE PATH /etc/snort/rules 

preproocessor http inspect: globalV 

iis unicode mep /etc/snort/rules/unicode.map 1252 

include /etc/snort/rules/reference.config 

include /etc/snort/rules/classification.config 

(4). 测试 Snort 

$/usr/local/bin/snort -A fast -b -d - D - 1 /var/log/snort - c /etc/snort/snort.oonf 


查看 文件 /var/log/messages, 若 没有 错误 信息 , 则 表示 安装 成 功 。 

3. Snort 的 工作 模式 

Snort 有 三 种 工作 模式 , 即 嗅 探 器 .数据 包 记录 器 .网 络 人 侵 检 测 系统 。 
(1) 嗅 探 器 


所 谓 的 嗅 探 器 模式 就 是 Snort 从 网 络 上 获取 数据 包 之 后 显示 在 控制 台 上 。 
TCP/IP 包头 信息 打印 在 屏幕 上 , 则 只 需要 执行 下 列 命令 : 


./snort -v 

若 显 示 应 用 层 数 据 , 则 执行 : 
-/snort - vd 

若 同 时 显示 数据 链 路 层 信息 , 则 执行 : 
-/snort -væ 


(2) 数据 包 记 录 器 


如 果 要 把 所 有 的 数据 包 记录 到 硬盘 上 , 则 需要 指定 一 个 日 志 目 录 ,Snort 将 会 自动 记录 


数据 包 : 


-/snort - dev - 1 ./log 


如 果 网 络 速 度 很 快 ,或 者 希望 日 志 更 加 紧凑 以 便 事后 分 析 , 则 应 该 使 用 二 进 制 日 志文 件 
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格式 。 使 用 下 面 的 命令 可 以 把 所 有 的 数据 包 记录 到 一 个 单一 的 二 进 制 文件 中 
-/snort -1 ./log -b 


G) 网 络 人 侵 检测 系统 
通过 下 面 命令 行 ,可 以 将 Snort 启动 为 网 络 入 侵 检 测 系统 模式 : 


-/snort - dev - 1 ./log -h 192.168.1.0/24 - c snort.conf 


snort, conf 是 规则 集 文件 。Snort 会 将 每 个 包 和 规则 集 进 行 匹配 ,一旦 匹配 成 功 就 会 采 
取 相 应 措施 。 若 不 指定 输出 目录 .Snort 就 将 日 志 输 出 到 /var/log/snort 目录 。 


思考 题 


.人 侵 检测 作为 安全 技术 其 作用 有 哪些 ? 

. 简 述 入 侵 检 测 系 统 的 分 类 。 

简 述 集中 式 体系 结构 的 优点 。 

比较 基于 主机 入侵 检测 的 优点 及 缺点 。 

主机 入 侵 检测 技术 的 发 展 趋势 主要 体现 在 哪 几 个 方面 ? 
在 具体 实现 中 ,专家 系统 主要 面临 哪些 问题 ? 

. 比较 误 用 入 侵 检测 与 异常 人 侵 检测 方法 。 

. 异常 检测 方法 主要 有 哪 两 种 ? 

. 简 述 入 侵 检 测 系统 部 署 的 原则 。 

10. 简 述 入 侵 检测 工具 Snort 的 应 用 。 


o 0o -30 0 £O to- 
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网 络 监 听 则 是 一 种 最 简单 而 且 最 有 效 的 方法 , 它 常常 能 轻易 地 获得 用 其 他 方法 很 难 获 
得 的 信息 。 

在 网 络 上 ,监听 效果 最 好 的 地 方 是 在 网 关 、 路 由 器 、 防 火 墙 一 类 的 设备 处 ,通常 由 网 络 管 
理 员 来 操作 。 使 用 最 方便 的 是 在 一 个 以 太 网 中 的 任何 一 台 上 网 的 主机 上 ,这 是 大 多 数 黑客 
的 做 法 。 

网 络 监控 的 基础 是 数据 捕获 ,网 络 监控 系统 是 并 接 在 网 络 中 来 实现 对 于 数据 的 捕获 的 ， 
这 种 方式 和 入 侵 检测 系统 相同 ,我 们 称 这 种 数据 获取 方式 为 网 络 嗅 探 。 网 络 嗅 探 是 网 络 监 
控 系 统 的 实现 基础 。 


9.1 网 络 嗅 探 监 听 的 原理 


9.1.1 网 卡 工作 原理 


网 卡 收 到 传输 来 的 数据 ,网 卡 内 的 单 片 程 序 先 接收 数据 头 的 目的 MAC 地 址 ,根据 计算 
机 上 的 网 卡 驱动 程序 设置 的 接收 模式 判断 该 不 该 接收 ,认为 该 接收 就 在 接收 后 产生 中 断 信 
号 通知 CPU, 认 为 不 该 接收 就 丢弃 不 管 ,所 以 不 该 接收 的 数据 网 卡 就 截断 了 ,计算 机 根本 就 
不 知道 。CPU 得 到 中 断 信号 产生 中 断 ,操作 系统 就 根据 网 卡 驱动 程序 中 设置 的 网 卡 中 断 程 
序 地 址 调用 驱动 程序 接收 数据 ,驱动 程序 接收 数据 后 放 入 信号 堆栈 让 操作 系统 处 理 。 

局 域 网 又 是 如 何 工作 呢 ? 

数据 在 网 络 上 是 以 很 小 的 称 为 帧 (Frame) 的 单位 传输 的 。 帧 由 好 几 部 分 组 成 ,不 同 的 
部 分 执行 不 同 的 功能 。( 例 如 ,以 太 网 的 前 12 字 节 存放 的 是 源 和 目的 地 址 ,这 些 位 告诉 网 
络 : 数据 的 来 源 和 去 处 。 以 太 网 帧 的 其 他 部 分 存放 实际 的 用 户 数 据 、TCP/IP 的 报 文 头 或 
IPX 报 文 头等 ) 。 

帧 通过 特定 的 网 络 驱动 程序 进行 成 型 ,然后 通过 网 卡 发 送 到 网 线 上 。 通 过 网 线 到 达 它 
们 的 目的 机 器 ,在 目的 机 器 的 一 端 执行 相反 的 过 程 。 接 收 端 机 器 的 以 太 网 卡 捕获 到 这 些 帧 ， 
并 告诉 操作 系统 帧 的 到 达 , 然 后 对 其 进行 存储 。 就 是 在 这 个 传输 和 接收 的 过 程 中 , 嗅 探 器 会 
造成 安全 方面 的 问题 。 

通常 在 局 域 网 中 同一 个 网 段 的 所 有 网 络 接口 都 有 访问 在 物理 媒体 上 传输 的 所 有 数据 的 
能 力 ,而 每 个 网 络 接口 都 还 应 该 有 一 个 硬件 地 址 ,该 硬件 地 址 不 同 于 网 络 中 存在 的 其 他 网 络 
接口 的 硬件 地 址 ,同时 ,每 个 网 络 至 少 还 要 一 个 广播 地 址 (代表 所 有 的 接口 地 址 )。 在 正常 情 
况 下 ,一 个 合法 的 网 络 接口 应 该 只 响应 以 下 两 种 数据 帧 : 

(1) 帧 的 目标 区 域 具有 和 本 地 网 络 接 口 相 匹配 的 硬件 地 址 。 

(2) 帧 的 目标 区 域 具有 “广播 地 址 ”。 

在 接收 到 上 面 两 种 情况 的 数据 包 时 ,网 卡通 过 CPU 产生 一 个 硬件 中 断 ,该 中 断 能 引起 
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操作 系统 注意 ,然后 将 帧 中 所 包含 的 数据 传送 给 系统 进一步 处 理 。 
当 采 用 共享 集线器 ,用 户 发 送 一 个 报 文 时 ,这 些 报 文 就 会 发 送 到 LAN 上 所 有 可 用 的 机 
器 。 在 一 般 情况 下 ,网 络 上 所 有 的 机 器 都 可 以 “ 听 ” 到 通过 的 流量 ,但 对 不 属于 自己 的 报 文 则 
不 予 响应 ( 换 句 话说 ,工作 站 A 不 会 捕获 属于 工作 站 B 的 数据 ,而 是 简单 地 忽略 这 些 数据 ) 。 
如 果 局 域 网 中 某 台 机 器 的 网 络 接口 处 于 混杂 (promiscuous) 模 式 ( 即 网 卡 可 以 接收 其 收 
到 的 所 有 数据 包 ) ,那么 它 就 可 以 捕获 网 络 上 所 有 的 报 文 和 帧 ,如 果 一 台 机 器 被 配置 成 这 样 
的 方式 , 它 ( 包 括 其 软件 ) 就 是 一 个 嗅 探 器 。 


9.1.2 网 络 噢 探 监 听 的 原理 


对 于 目前 很 流行 的 以 太 网 协议 ,其 工作 方式 是 : 将 要 发 送 的 数据 包 发 往 连 接 在 一 起 的 
所 有 主机 , 包 中 包含 着 应 该 接收 数据 包 主 机 的 正确 地 址 ,只 有 与 数据 包 中 目标 地 址 一 致 的 那 
台 主 机 才能 接收 。 但 是 ,当主 机 工作 混杂 模式 下 ,无 论 数据 包 中 的 目标 地 址 是 什么 ,主机 都 
将 接收 (当然 只 能 监听 经 过 自己 网 络 接口 的 那些 包 ) 。 

在 Internet 上 有 很 多 使 用 以 太 网 协议 的 局 域 网 ,许多 主机 通过 电缆 、 集 线 器 连 在 一 起 。 
当 同 一 网 络 中 的 两 台 主 机 通信 的 时 候 , 源 主机 将 写 有 目的 的 主机 地 址 的 数据 包 直 接 发 向 目 
的 主机 。 但 这 种 数据 包 不 能 在 IP 层 直 接 发 送 ,必须 从 TCP/IP 协议 的 IP 层 交 给 网 络 接口 ， 
也 就 是 数据 链 路 层 , 而 网 络 接口 是 不 会 识别 IP 地 址 的 ,因此 在 网 络 接口 数据 包 又 增加 了 一 
部 分 以 太 帧 头 的 信息 。 在 帧 头 中 有 两 个 域 , 分 别 为 只 有 网 络 接口 才能 识别 的 源 主 机 和 目的 
主机 的 物理 地 址 ,这 是 一 个 与 IP 地 址 相对 应 的 48 位 的 地 址 。 

传输 数据 时 ,包含 物理 地 址 的 帧 从 网 络 接口 (网 卡 ) 发 送 到 物理 的 线路 上 ,如 果 局 域 网 是 
由 一 条 粗 缆 或 细 缆 连接 而 成 , 则 数字 信号 在 电缆 上 传输 ,能 够 到 达 线 路 上 的 每 一 台 主 机 。 当 
使 用 集线器 时 ,由 集线器 再 发 向 连接 在 集线器 上 的 每 一 条 线路 ,数字 信号 也 能 到 达 连 接 在 集 
线 器 上 的 每 一 台 主 机 。 当 数字 信和 号 到 达 一 台 主机 的 网 络 接口 时 ,正常 情况 下 ,网络 接 口 读 和 人 
数据 帧 ,进行 检查 ,如 果 数 据 帧 中 携带 的 物理 地 址 是 自己 的 或 者 是 广播 地 址 , 则 将 数据 帧 交 
给 上 层 协议 软件 ,也 就 是 IP 层 软件 ,否则 就 将 这 个 帧 丢弃 。 对 于 每 一 个 到 达 网 络 接口 的 数 
据 帧 ,都 要 进行 这 个 过 程 。 

然而 ,当主 机 工作 在 混杂 模式 下 ,所 有 的 数据 帧 都 将 被 交 给 上 层 协 议 软件 处 理 。 而 且 ， 
当 连 接 在 同一 条 电缆 或 集线器 上 的 主机 被 逻辑 地 分 为 几 个 子 网 时 ,如 果 一 台 主 机 处 于 混杂 
模式 下 , 它 还 能 接收 到 发 向 与 自己 不 在 同一 子 网 (使 用 了 不 同 的 掩 码 、IP 地 址 和 网 关 ) 的 主 
机 的 数据 包 。 也 就 是 说 ,在 同一 条 物理 信道 上 传输 的 所 有 信息 都 可 以 被 接收 到 。 另 外 ,现在 
网 络 中 使 用 的 大 部 分 协议 都 是 很 早 设计 的 ,许多 协议 的 实现 都 是 基于 一 种 非常 友好 的 .通信 
的 双方 充分 信任 的 基础 之 上 ,许多 信息 以 明文 发 送 。 因 此 ,如 果 用 户 的 账户 名 和 口令 等 信息 
电 以 明文 的 方式 在 网 上 传输 ,而 此 时 一 个 黑客 或 网 络 攻击 者 正在 进行 网 络 监听 ,只 要 具有 初 
步 的 网 络 和 TCP/IP 协议 知识 , 便 能 轻易 地 从 监听 到 的 信息 中 提取 出 感 兴趣 的 部 分 。 同 理 ， 
正确 地 使 用 网 络 监听 技术 也 可 以 发 现 人 侵 并 对 入 侵 者 进行 追踪 定位 ,在 对 网 络 犯 罪 进行 侦 
查 取 证 时 获取 有 关 犯 罪行 为 的 重要 信息 ,成 为 打击 网 络 犯罪 的 有 力 手段 。 
启用 网 卡 接口 的 混杂 模式 带 来 的 好 处 是 可 以 知道 网 络 中 任何 一 台 机 在 任 一 时 刻 在 做 什 
么 事 。 坏 处 就 是 接收 到 太 多 的 包 , 太 占 网 络 带宽 。 

一 般 不 用 专门 设置 混杂 模式 ,通常 安装 一 个 嗅 探 软件 如 Sniffer, 打 开 运 行 后 就 设置 为 
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混杂 模式 了 ,退出 Sniffer 就 回 到 原来 的 普通 
模式 。 如 果 在 Windows PREA Ah R [ose mu an espRIPURRR ING DER 
f ra" SA XE TE RE (PEU E ERAT dn HRESBNIAN. TELABEESRNME, NEE 
令 , 打 开设 备 管 理 器 ,选择 “网 络 适 配器 ”, 右 1 aw: 

击 * 网 卡 " 一 “高 级 "一 “连接 速度 和 双 工 模 | ER spay 

式 ”, 在 右边 的 “ 值 ”* 下 拉 文 本 框 中 选择 “全 双 3 
工 ”, 即 混杂 模式 ,如 图 9-1 所 示 。 如 果 想 改 回 
来 ,选择 “自动 侦 测 ”就 可 以 了 。 


9.1.3 网 络 噢 探 器 接 人 方案 


1. 共享 式 以 太 网 环境 中 应 用 网 络 嗅 探 器 

在 共享 式 以 太 网 中 ,同一 网 段 中 所 有 主 
机 都 连接 到 一 个 集线器 上 。 当 同一 网 段 中 的 
任何 一 台 主 机 发 送 一 个 数据 包 后 ,都 会 通过 
集线器 以 广播 的 方式 发 送 到 网 络 当中 ,处 在 同一 网 络 中 的 所 有 其 他 主机 都 会 看 到 这 些 数 据 
包 , 然 后 通过 查找 数据 包 中 的 目的 MAC 地 址 来 确认 这 个 包 是 否 是 发 给 自己 的 。 如 果 是 ,就 
接收 这 个 数据 包 ,如 果 不 是 ,就 会 丢弃 这 个 包 。 

这 样 一 来 ,在 共享 式 以 太 网 中 ,要 嗅 探 出 某 台 主 机 接口 卡 中 的 流量 和 嗅 探 整个 网 络 中 的 
流量 都 是 非常 简单 的 。 我 们 只 要 将 网 络 嗅 探 器 通过 网 线 连接 到 集线器 中 的 任意 一 个 空闲 端 
口 ,然后 通过 网 络 嗅 探 软件 ,将 嗅 探 咒 的 网 络 接口 卡 的 工作 模式 设 为 混杂 模式 ,就 可 以 捕捉 
到 在 网 络 上 传输 的 所 有 网 络 流量 。 图 9-2 就 是 在 共享 式 以 太 网 中 使 用 网 络 分 析 器 的 原 
理 图 。 


Realtek RTL8102E/RTL8103E Family PCI-E Fast Ethern... 2. X 


图 9-1 设置 网 卡 模式 


而 
主机 A 


图 9-2 共享 式 以 太 网 方式 使 用 网 络 分 析 器 原理 图 


2. 在 交换 机 或 路 由 器 的 网 络 环境 中 应 用 网 络 嗅 探 器 

交换 机 是 通过 MAC 地 址 表 来 决定 将 数据 包 转 发 到 哪个 端口 的 。 原 则 上 来 讲 ,简单 通 
过 物理 方式 将 网 络 嗅 探 器 接 人 到 交换 机 端口 ,然后 将 嗅 探 器 的 网 络 接口 卡 设 为 混杂 模式 , 依 
然 只 能 捕捉 到 进出 网 络 嗅 探 器 本 身 的 数据 包 。 那 么 ,是否 有 方法 可 以 在 交换 机 网 络 中 ,让 网 
络 嗅 探 器 捕捉 到 网 络 中 某 台 主 机 的 流量 ,或 者 整个 网 段 的 网 络 流量 呢 ? 答案 是 肯定 的 。 不 
过 有 一 定 条 件 限 制 。 首 先 ,用 户 应 当 具 有 物理 接触 目标 网 络 的 权限 ,另外 ,用 户 还 具有 使 用 
网 络 嗅 探 器 ,以 及 调整 网 络 设置 的 权限 。 满 足 了 这 些 条 件 ,就 一 起 来 分 析 如 何 通过 端口 镜像 
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(port mirroing) 功 能 达到 在 交换 机 网 络 中 嗅 探 网 络 流 量 的 目的 。 

现在 一 些 可 网 管 式 交 换 机 ,一 般 都 有 一 种 叫做 端口 镜像 的 功能 ,有 的 也 叫 端口 绑 定 
(port spanning) 。 这 种 功能 允许 用 户 将 交换 机 中 的 一 个 端口 设置 为 端口 镜像 模式 ,然后 再 
指定 要 被 镜像 的 交换 机 端口 关联 到 这 个 指定 了 镜像 功能 的 端口 上 。 完 成 设置 后 ,这 些 被 镜 
像 的 交换 机 端口 中 的 流量 将 会 同时 复制 一 份 到 镜像 端口 上 。 这 样 ,只 要 将 网 络 嗅 探 器 连接 
到 这 个 端口 上 ,然后 将 嗅 探 器 的 网 络 接口 卡 设 为 混杂 模式 ,就 可 以 嗅 探 到 连接 到 交换 机 中 这 
些 被 镜像 的 端口 上 的 主机 发 送 的 数据 包 。 例 如 DLink 生产 的 DGS3427 系列 交换 机 就 可 以 
设置 端口 镜像 功能 。 而 且 , 有 些 可 网 管 交换 机 还 可 以 通过 Web 方式 直观 地 设置 这 种 功能 。 
将 网 络 分 析 器 接 入 到 交换 机 及 网 络 环境 中 。 

通过 端口 镜像 方式 连 入 网 络 嗅 探 器 的 拓扑 如 图 9-3 所 示 。 


图 9-3 通过 端口 镜像 方式 连 入 网 络 嗅 探 器 的 拓扑 


9.1.4 无 线 局 域 网 嗅 探 技 术 原 理 


1997 年 ,IEEE 确定 802. 11 作为 第 一 个 国际 认可 的 无 线 局 域 网 标准 。1999 年 9 月 发 布 
802. 11b 标准 。802. 11b 标准 描述 了 OSI 模型 的 物理 层 (physical) 以 及 部 分 数据 链 路 层 
(data link) 协 议 ,工作 在 2. 4GHz 频段 (2. 40—2. 45GHz) 。 分 为 11 个 可 用 的 信道 。 所 有 网 
络 硬 件 设计 为 可 以 在 任何 一 个 信道 上 实现 监听 和 发 送 .但 为 了 直接 通信 ,发 送 者 和 接收 者 必 
须 在 同一 个 信道 上 。 因 此 无 线 局 域 网 的 嗅 探 首先 要 进行 信道 扫描 。 确 定 存在 通信 的 信道 ， 
然后 固定 在 一 个 信道 上 进行 监听 。 

802. 11b 的 认证 分 为 开放 式 认 证 和 共享 密 钥 认证 。 如 果 是 开放 式 认 证 ,那么 任何 与 标 
准 兼容 的 设备 都 可 以 通过 认证 :如果 是 共享 密 钥 认证 。 使 用 WEP 作为 共享 密 钥 通过 加 密 
质询 信息 和 解密 质询 信息 判断 是 否 为 合法 用 户 。 针 对 共享 密 钥 认 证 ,攻击 者 可 以 通过 纪录 合 
法 用 户 与 接 入 点 之 间 的 认证 过 程 。 记 录 认 证 过 程 第 二 步 接 入 点 发 送 的 质询 信息 和 第 三 步 合 法 
用 户 的 加 密 信息 ,将 两 者 进行 异 或 运算 ,那么 攻击 者 就 可 以 使 用 得 到 的 异 或 值 通 过 认证 。 

802. 11b 规定 了 一 种 称 为 有 线 同 等 保密 协议 (WEP) 的 可 选 加 密 方案 ,提供 了 确保 
WLAN 数据 流 的 机 制 。WEP 采用 了 RC4 对 称 加 密 算法 , 即 通 过 配置 WEP, 可 指定 一 个 长 
度 为 64 位 或 128 位 密 钥 对 传输 数据 进行 加 密 。 发 送 者 用 一 个 密 钥 序列 与 明文 异 或 产生 密 
文 。 但 由 于 WEP 中 规定 的 初始 化 向 量 的 长 度 为 24B, 因 此 重复 的 密 钥 流 将 易 出 现 。 攻 击 者 
将 得 到 两 条 明文 的 异 或 值 , 如 果 攻 击 者 知道 一 条 明文 的 某 些 部 分 ,那么 另 一 条 明文 的 对 应 部 
分 就 可 被 恢复 出 来 。 因 此 基于 RC4 的 弱 密 钥 ,通过 统计 学 方法 对 密 文 进行 破解 ,只 需 尝 试 
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很 少 的 密 钥 就 可 以 接 入 到 网 络 中 。 

由 上 述 分 析 能 够 看 出 ,攻击 者 可 以 利用 802. 11b 标准 的 漏洞 突破 WLAN 的 认证 和 加 
密 , 嗅 探 空中 传播 的 802. 11b 信号 。 

在 802. 11b 无 线 局 域 网 中 ,一 个 无 线 节点 并 不 把 数据 帧 直接 发 送 给 另 一 个 节点 而 是 把 
目的 地 ,接收 工作 站 的 地 址 放 在 帧 的 头 部 ,然后 把 数据 帧 通过 无 线 电信 号 发 送 。 所 有 的 无 线 
网 络 节点 平时 处 在 混杂 模式 ,接收 到 一 个 数据 帧 后 ,利用 802. 11MAC 头 的 第 一 个 地 址 来 判 
断 是 不 是 应 该 处 理 这 个 帧 。 如 果 是 ,该 节点 就 把 该 数据 帧 放 人 存储 器 ,然后 传递 给 协议 栈 下 
一 层 进行 处 理 。 如 果 消 息 接收 准确 ,接收 节点 通常 发 送 一 个 ACK 进行 确认 。 

通过 这 个 过 程 可 以 发 现在 进行 物理 地 址 的 匹配 判断 之 前 ,所 有 无 线 信号 覆盖 范围 内 的 
网 络 节点 都 能 够 从 物理 上 接收 到 通信 的 数据 帧 。 如 果 把 这 个 判断 的 过 程 人 为 地 去 掉 , 就 可 
以 达到 接收 所 有 802. 11b 数据 的 目的 。 这 个 工作 就 是 把 无 线 网 卡 设 成 混杂 模式 
(promiscuous mode)。 值 得 注意 的 是 ,和 有 线 网 络 不 同 ,处 在 混杂 模式 的 无 线 节 点 不 能 发 送 
数据 帧 ,只 能 够 接收 数据 帧 。 这 样 无 线 嗅 探 更 加 不 易 被 探测 到 。 

在 实现 嗅 探 时 ,首先 设置 用 于 嗅 探 的 计算 机 , 即 在 嗅 探 机 上 装 好 无 线 网 卡 , 并 把 网 卡 设 
置 为 混杂 模式 。 在 混杂 模式 下 ,网 卡 能 够 接收 一 切 通过 它 的 数据 包 , 进 而 对 数据 包 解 析 , 实 
现 数据 窃听 。 其 次 实现 循环 抓 取 数据 包 , 并 将 抓 到 的 数据 包 送 入 下 一 步 的 数据 解析 模块 处 
理 。 最 后 进行 数据 解析 ,依次 提取 出 以 太 帧 头 、IP 包头 、TCP 包头 等 ,然后 对 各 个 报头 部 分 
和 数据 部 分 进行 相应 的 分 析 处 理 。 


9.2 网 络 监听 的 防范 措施 


9.2.1 局 域 网 网 络 监听 的 防范 措施 


1. 如 何 检测 到 嗅 探 

由 于 在 一 个 普通 的 网 络 环境 中 ,账号 和 口令 信息 以 明文 方式 在 以 太 网 中 传输 ,一 旦 人 侵 
者 获得 其 中 一 台 主 机 的 root 权限 ,并 将 其 置 于 混杂 模式 以 窃听 网 络 数据 ,从 而 有 可 能 人 侵 
网 络 中 的 所 有 计算 机 。 如 何 才 知道 有 没有 Sniffer 在 我 的 网 上 运行 呢 ? 这 也 是 一 个 很 难说 
明 的 问题 ,比较 有 说 服 力 地 证 明 你 的 网 络 有 Sniffer, 有 如 下 几 条 特征 : 

1) 网 络 通信 掉包 率 异 常 高 

通过 一 些 网 络 软件 ,可 以 看 到 用 户 的 信息 包 传 送 情况 (不 是 Sniffer) ,向 Ping 这 样 的 命 
令 会 告诉 用 户 掉 了 百 分 之 几 的 包 。 如 果 网 络 中 有 人 在 听 , 那 么 用 户 的 信息 包 传送 将 无 法 每 
次 都 顺畅 地 流 到 用 户 的 目的 地 (这 是 由 于 Sniffer 拦截 每 个 包 导 致 的 ) 。 

2) 网 络 带 宽 出 现 异常 

通过 某 些 带宽 控制 器 (通常 是 防火 墙 所 带 ) ,可 以 实时 看 到 目前 网 络 带宽 的 分 布 情况 ,如 
果 某 台 机 器 长 时 间 占 用 了 较 大 的 带宽 ,这 台 机 器 就 有 可 能 在 听 。 在 非 高 速 信道 上 ,如 
56kbps 的 DDN 等 ,如 果 网 络 中 存在 Sniffer, 你 应 该 也 可 以 察觉 出 网 络 通信 速度 的 变化 。 

3) Sniffer 的 记录 文件 会 很 快 增 大 并 填 满 文件 空间 

在 一 个 大 型 网 络 中 ,Sniffer 明显 加 重 机 器 负荷 。 这 些 警 告 信息 往往 能 够 帮助 管理 员 发 
现 Sniffer。 
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4) 将 网 络 接口 置 为 混杂 模式 以 接收 所 有 数据 包 

对 于 某 些 UNIX 系统 ,通过 监测 到 混杂 模式 的 网 络 接口 。 虽 然 可 以 在 非 混 杂 模 式 下 运 
行 Sniffer, 但 这 样 将 只 能 捕获 本 机 会 话 。 只 有 在 混杂 模式 下 的 Sniffer 才能 捕获 以 太 网 中 的 
所 有 会 话 ,其 他 模式 只 能 捕获 本 机 会 话 。 

要 监测 只 采集 数据 而 不 对 任何 信息 进行 响应 的 窃听 设备 ,需要 逐个 仔细 检查 以 太 网 上 
所 有 物理 连接 。 不 可 能 通过 远程 发 送 数据 包 或 Ping 检查 计算 机 是 否 正 在 窃听 。 一 个 主机 
上 的 Sniffer 会 将 网 络 接口 置 为 混杂 模式 以 接收 所 有 数据 包 。 对 于 某 些 UNIX 系统 ,通过 监 
测 到 混杂 模式 的 网 络 接口 可 以 检测 到 正在 进行 监听 的 计算 机 。 当 然 , 也 可 以 在 非 混杂 模式 
下 运行 Sniffer, 但 这 样 只 能 捕获 本 机 会 话 。 入 侵 者 可 能 通过 在 诸如 SH, Telnet, rlogin , in. 
telnetd 等 程序 中 捕获 会 话 , 并 将 用 户 操作 记录 到 其 他 文件 中 。 这 些 都 可 能 通过 监视 tty 和 
kmem 等 设备 轻易 发 现 。 只 有 在 混杂 模式 下 的 网 络 嗅 探 工具 才能 捕获 到 以 太 网 中 的 所 有 会 
话 , 当 网 卡 采用 其 他 模式 时 只 能 捕获 本 机 会 话 。 对 于 Sun OS, NetBSD 和 其 他 BSD UNIX 
系统 ,命令 :“ifconfig -a” 会 显示 所 有 网 络 接口 信息 和 是 否 在 混杂 模式 。 

2. 阻止 网 络 嗅 探 的 方法 

网 络 嗅 探 确 实 是 难于 检测 的 ,但 它 确实 是 可 以 预防 的 ,下 面 就 介绍 一 些 网 络 嗅 探 的 预防 
方法 。 网 络 管理 人 员 常 用 的 方法 有 : 主动 集线器 、 加 密 、Kerberos. 一 次 性 口令 技术 ,混杂 模 
式 网 络 接口 设备 等 。 下 面 将 就 这 些 方法 分 别 展开 论述 。 

D 主动 集线器 

集线器 是 连接 网 络 较 常用 的 设备 。 通 常 的 集线器 是 采用 广播 的 方式 进行 数据 传输 的 ， 
而 主动 式 集线器 只 向 目标 地 址 主机 发 送 数据 包 , 这 就 使 混杂 模式 Sniffer 失效 。 它 仅 适用 于 
10Base-T 以 太 网 ( 注 : 这 种 类 型 现在 已 在 计算 机 市 场 消失 )。 只 有 3Com 和 HP 曾 生产 过 主 
动 式 集线器 。 

随 着 交换 机 的 成 本 和 价格 的 大 幅度 降低 ,交换 机 已 成 为 非常 有 效 地 使 Sniffer 失效 的 设 
备 。 目 前 最 常见 的 交换 机 在 第 三 层 ( 网 络 层 ) 根 据 数据 包 目 标 地 址 进行 转发 ,而 采取 集线器 
的 广播 方式 ,这 样 就 使 Sniffer 失去 了 用 武之 地 。 当 然 对 于 抵御 黑客 而 言 ,交换 设备 的 出 现 
对 于 广大 的 网 络 用 户 而 言 是 不 错 的 ,但 是 对 于 需要 对 于 网 络 进行 监控 的 网 络 管理 人 员 而 言 + 
没有 广播 数据 就 像 被 人 蒙 上 了 眼睛 ,如 何 实现 对 于 网 络 数据 的 监控 呢 ? 将 监控 设备 串 接 在 
网 络 中 吗 ? 这 不 现实 ,这 难免 会 影响 网 络 的 实际 使 用 的 。 

实际 上 ,网 络 设备 的 生产 厂商 在 其 设备 的 设计 和 生产 的 时 候 加 入 了 网 络 监听 端口 ,又 被 
称 为 径 向 端口 ,这 样 就 可 以 通过 这 样 的 端口 监视 到 其 他 端口 的 通信 。 

2) 加 密 

目前 有 许多 软件 包 可 用 于 加 密 连接 ,这 样 入 侵 者 即使 捕获 到 数据 ,也 无 法 将 数据 解密 ， 
使 窃听 失去 意义 。 

3) Kerberos 

它 是 另 一 个 加 密 网 络 中 账号 信息 的 软件 包 。 它 的 缺点 是 所 有 账号 信息 都 存放 在 一 台 主 
机 中 ,如 果 该 主机 被 入 侵 , 则 会 危及 整个 网 络 安全 。 另 外 配置 它 也 不 是 一 件 简单 的 事情 。 
Kerberos 包括 流 加 密 rlogind 和 流 加 密 telnetd 等 ,可 防止 入 侵 者 捕获 用 户 在 登录 完成 后 所 
进行 的 操作 。Kerberos FAQ 可 从 ftp 站 点 rtfm. mit. edu/pub/usenet/comp. protocols/ 
kerberos/Kerberos Users Frequently Asked Questions 1.11 中 得 到 。 


275 


网 络 安全 技术 


276 


4) 一 次 性 口令 技术 

一 次 性 口令 技术 的 工作 原理 是 远程 主机 已 得 到 一 个 口令 (这 个 口令 不 会 在 不 安全 的 网 
络 中 传输 ), 当 用 户 连接 时 会 获得 一 个 “挑战 ”(challenge) 信 息 , 用 户 将 这 个 信息 和 口令 经 过 
某 个 算法 运算 ,产生 正确 的 “响应 ”(response) 信 息 ( 如 果 通 信和 双方 口令 正确 的 话 )。 这 种 验 
证 方式 无 须 在 网 络 中 传输 口令 ,而 且 相 同 的 “挑战 /响应 ”也 不 会 出 现 两 次 。 

S/key 就 是 一 种 一 次 性 口令 技术 ,可 从 ftp://thumper. bellcore. com/pub/nmh/skey 
中 得 到 。 另 一 种 常用 的 一 次 性 口令 技术 是 ID 卡 系统 。 每 个 授权 用 户 都 有 一 个 产生 用 于 访 
问 各 自 账 号 的 数字 号 码 的 ID 卡 。 如 果 没 有 这 个 ID HR ,不 可 能 猜 出 这 个 数字 号 码 。 一 次 性 
口令 技术 不 仅仅 是 防止 监听 的 好 方法 , 它 确实 也 是 保证 认证 安全 的 有 效 方 法 。 

5) 非 混杂 模式 网 络 接口 设备 

以 前 ,大 多 数 IBM DOS 兼容 机 器 的 网 卡 都 不 支持 混杂 模式 ,所 以 无 法 进行 网 络 嗅 探 。 
但 DOS 已 退出 计算 机 网 络 舞 台 , 对 于 现在 计算 机 市 场 中 的 网 络 接口 设备 ,在 使 用 的 时 候 请 
向 供应 商 查 询 是 否 为 非 混杂 模式 设备 ( 即 不 支持 混杂 模式 )。 


9.2.2 无 线 局 域 网 网 络 监听 的 防范 措施 


1. 加 强 网 络 访问 控制 

一 种 极端 的 手段 是 通过 房屋 的 电磁 屏蔽 来 防止 电磁 波 的 泄漏 ,通过 强大 的 网 络 访问 控 
制 可 以 减少 无 线 网 络 配置 的 风险 。 同 时 配置 勘测 工具 也 可 以 测量 和 增强 AP 履 盖 范围 的 安 
全 性 。 虽 然 确 知 信号 覆盖 范围 可 以 为 WLAN 安全 提供 一 些 有 利 条 件 , 但 这 并 不 能 成 为 一 
种 完全 的 网 络 安全 解决 方案 。 攻 击 者 使 用 高 性 能 天 线 仍 有 可 能 在 无 线 网 络 上 嗅 探 到 传输 的 
数据 。 

2. 网 络 设置 为 封闭 系统 

为 了 避免 网 络 被 NetStumbler 之 类 的 工具 发 现 。 应 把 网 络 设 置 为 封闭 系统 。 封 闭 系统 
是 对 SSID 标 为 any 的 客户 端 不 进行 响应 ,并 且 关 闭 网 络 身份 识别 的 广播 功能 的 系统 。 它 
能 够 禁止 非 授 权 访 问 。 但 不 能 完全 防止 被 嗅 探 。 

3. 一 次 性 口令 技术 

通常 的 计算 机 口令 是 静态 的 , 极 易 被 网 上 嗅 探究 取 。 采 用 S/key 一 次 性 口令 技术 或 其 
他 一 次 性 口令 技术 ,能 使 窃听 账号 信息 失去 意义 。S/key 的 原理 是 远程 主机 已 得 到 一 个 口 
令 ( 这 个 口令 不 会 在 不 安全 的 网 络 中 传输 ), 当 用 户 连接 时 会 获得 一 个 “质询 ”(challenge) 信 
息 。 用 户 将 这 个 信息 和 口令 经 过 某 个 算法 运算 ,产生 一 个 正确 的 “响应 ”(response) 信 息 ( 如 
果 通 信和 双方 口令 正确 的 话 )。 这 种 验证 方式 无 需 在 网 络 中 传输 口令 。 而 且 相 同 的 “质询 / 响 
应 信息 ”也 不 会 出 现 两 次 。 

4. 采用 新 安全 标准 802. 11i 

2004 年 6 H ,无 线 局 域 网 安全 标准 802. 11i 在 IEEE 标准 委员 会 获得 通过 。802. 11i 从 
认证 和 保密 两 个 方面 提高 无 线 局 域 网 的 安全 性 。 在 认证 方面 ,802. 11i 规定 使 用 802. 1x 认 
证 和 密 钥 管理 方式 。 在 保密 方面 定义 了 TKIP(TemporalKey Integrity Protocol) 和 CCMP 
(Counter 一 Mode/CBC 一 MAC Protocol) 两 种 加 密 机 制 ,其 中 TKIP 采用 WEP 机 制 里 的 
RC4 作为 核心 加 密 算 法 ,可 以 通过 在 现 有 的 设备 上 升级 固件 和 驱动 程序 的 方法 达到 提高 
WLAN 安全 的 目的 。CCMP 机 制 基 于 AES(Advanced Eneryption Standard) 加 密 算法 和 
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CCM(Counter 一 Mode/CBC 一 MAC) 认 证 方式 ,使 得 WLAN 的 安全 程度 大 大 提高 ,是 实现 
RSN(Robust Security Network) 的 强制 性 要 求 ,但 CCMP 无 法 通过 在 现 有 设备 的 基础 上 进 
行 升级 实现 。 


9.3 典型 嗅 探 监听 工具 


9.3.1 Tcpdump/ Windump 


1. Tcpdump 

Tepdump 是 最 老 的 也 是 最 通用 的 窃听 程序 。 在 最 简单 的 模式 , 它 将 在 命令 行 的 方式 下 
堆积 单行 的 解码 ,一 行 一 个 包 。 这 个 程序 是 UNIX 下 捕获 数据 包 的 标准 。Tcpdump 这 个 
Sniffer 很 有 名 . Linux, FREEBSD 还 把 它 搭 带 在 系统 上 ,这 是 一 个 被 很 多 UNIX 高 手 认为 
是 一 个 专业 的 网 络 管理 工具 。 维 护 的 最 好 的 版 本 在 http://www. tcpdump. org/ 下 载 。 

1) Tepdump 的 安装 

在 Linux 下 Tepdump 的 安装 十 分 简单 ,一 般 有 两 种 安装 方式 : 一 种 是 以 rpm 包 的 形式 
来 进行 安装 (这 种 形式 的 安装 是 最 简单 的 安装 方法 ,这 里 只 介绍 这 种 方法 ); 另 一 种 是 以 源 程 
序 的 形式 安装 。 

rpm 包 是 将 软件 编译 后 打包 成 二 进 制 的 格式 ,通过 rpm 命令 可 以 直接 安装 ,不 需要 修 
改 任何 东西 。 以 超级 用 户 登录 ,使 用 命令 如 下 : 


#rpm- ivh tepdump- 3 4a5.rpm 


XX FF. Tcpdumop 就 顺利 地 安装 到 用 户 的 Linux 系统 中 。 
2) Tepdump 的 使 用 
Tcpdump 采用 命令 行 方式 , 它 的 命令 格式 为 : 
tcpdump [-adeflrNoggstvx] [-c 数 量 ] [-F 文 件 名 ] 
[网 络 接口 ] [-r 文 件 名 ] -s snaplen] 
[-T 类 型 ] [-w 文 件 名 ] [表达 式 ] 


(1) Tepdump 的 选项 介绍 : 

。-a 将 网 络 地 址 和 广播 地 址 转变 成 名 字 。 

。-d 将 匹配 信息 包 的 代码 以 人 们 能 够 理解 的 汇编 格式 给 出 。 
。 -dd 将 匹配 信息 包 的 代码 以 C 语言 程序 段 的 格式 给 出 。 

* -ddd 将 匹配 信息 包 的 代码 以 十 进 制 的 形式 给 出 。 

。-e 在 输出 行 打印 出 数据 链 路 层 的 头 部 信息 。 

。-{ 将 外 部 的 Internet 地 址 以 数字 的 形式 打印 出 来 。 

d 使 标准 输出 变 为 缓冲 行 形式 。 

。-n 不 把 网 络 地 址 转换 成 名 字 。 

。- 在 输出 的 每 一 行 不 打印 时 间 戳 。 

。-v 输出 一 个 稍微 详细 的 信息 ,例如 在 TP 包 中 可 以 包括 TTL 和 服务 类 型 的 信息 。 
。 -vv 输出 详细 的 报 文 信息 。 
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。-c 在 收 到 指定 的 包 的 数目 后 ,Tcpdump 就 会 停止 。 

。-F 从 指定 的 文件 中 读 取 表达 式 ,忽略 其 他 的 表达 式 。 

。 -i 指定 监听 的 网 络 接口 。 

。-r 从 指定 的 文件 中 读 取 包 (这 些 包 一 般 通 过 -w 选项 产生 ) 。 

。-w 直接 将 包 写 人 文件 中 ,并 不 分 析 和 打印 出 来 。 

。-T 将 监听 到 的 包 直 接 解 释 为 指定 的 类 型 的 报 文 , 常 见 的 类 型 有 RPC( 远 程 过 程 调 

用 ) 和 SNMP( 简 单 网 络 管理 协议 )。 

(2) Tepdump 的 表达 式 介绍 : 表达 式 是 一 个 正则 表达 式 ,Tcpdump 利用 它 作 为 过 滤 报 
文 的 条 件 ,如 果 一 个 报 文 满足 表达 式 的 条 件 , 则 这 个 报 文 将 会 被 捕获 。 如 果 没 有 给 出 任何 条 
件 , 则 网 络 上 所 有 的 信息 包 将 会 被 截获 。 

在 表达 式 中 一 般 如 下 几 种 类 型 的 关键 字 , 一 种 是 关于 类 型 的 关键 字 , 主要 包括 host、 
net、port, 例 如 host 210. 27. 48. 2 ,指明 210. 27. 48. 2 是 一 台 主 机 ,net 202. 0. 0.0 指明 
202. 0. 0. 0 是 一 个 网 络 地 址 ,port 23 指明 端口 号 是 23。 如 果 没 有 指定 类 型 ,默认 的 类 型 是 
host, 

第 二 种 是 确定 传输 方向 的 关键 字 ,主要 包括 sre dst, dst or src,dst and src 这 些 关键 字 
指明 了 传输 的 方向 。 举 例 说 明 ,src 210. 27. 48. 2, 指 明 IP 包 中 源 地 址 是 210. 27. 48. 2. 
dst net 202. 0. 0. 0 指明 目的 网 络 地 址 是 202. 0. 0.0 。 如 果 没 有 指明 方向 关键 字 , 则 默认 sre 
or dst 关键 字 。 

第 三 种 是 协议 的 关键 字 , 主要 包括 fddi ,ip ,arp ,rarp ,tcp udp 等 类 型 。fddi 指明 是 在 
FDDI( 分 布 式 光纤 数据 接口 网 络 ) 上 的 特定 的 网 络 协议 ,实际 上 它 是 “ether” 的 别名 ,fddi 和 
ether 具有 类 似 的 源 地 址 和 目的 地 址 ,所 以 可 以 将 fddi 协议 包 当 作 ether 的 包 进 行 处 理 和 分 
析 。 其 他 的 几 个 关键 字 就 是 指明 了 监听 的 包 的 协议 内 容 。 如 果 没 有 指定 任何 协议 , 则 
Tepdump 将 会 监听 所 有 协议 的 信息 包 。 

除了 这 三 种 类 型 的 关键 字 之 外 ,其 他 重要 的 关键 字 有 : gateway. broadcast, less、 
greater, 还 有 三 种 逻辑 运算 , 取 非 运算 是 not 和 !, 与 运算 是 and 和 &&; 或 运算 是 or 和 ||。 

这 些 关 键 字 可 以 组 合 起 来 构成 强大 的 组 合 条 件 来 满足 人 们 的 需要 ,下 面 举 几 个 例子 来 
说 明 。 

例 9-1 想 要 截获 所 有 210. xx. xx. 12 的 主机 收 到 的 和 发 出 的 所 有 的 数据 包 : 


#tcpdump host 210.xx.xx.12 


例 9-2 想 要 截获 主机 210. xx. xx. 31 和 主机 210. xx. xx. 23 3X 210. xx. xx. 35 的 通信 ， 
使 用 命令 : 


#todnp host 210.xx.xx.31 and\ (210.xx.xx.23 or 210.xx.xx.35 V) 


fij 9-3 如 果 想 要 获取 主机 210. xx. xx. 14 除了 和 主机 210. xx. xx. 23 之 外 所 有 主机 通 
信 的 了 P 包 ,使 用 命令 : 


#todnp ip host 210.xx.xx.14and 1210.xx.xx.23 
fij 9-4 如 果 想 要 获取 主机 210. xx. xx. 11 接收 或 发 出 的 telnet 包 ,使 用 如 下 命令 : 


3tcpdump tcp port 23 host 210.xx.xx.11 
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(3) Tepdump 的 输出 结果 介绍 : 

下 面 介绍 几 种 典型 的 Tepdump 命令 的 输出 信息 。 

使 用 命令 

#tcpdump- -e host iœ 

ICE 是 一 台 装 有 Linux 的 主机 , 它 的 MAC 地 址 是 “0:90:27:58:AF:1A”。 

H219 是 一 台 装 有 SOLARIC 的 Sun 工作 站 , 它 的 MAC 地 址 是 8:0:20:79:5B:46; 上 
一 条 命令 的 输出 结果 如 下 : 


21:50:12.847509 eth0< 8:0:20:79:5b:46 0:90:27:58:af:la ip 60: h219.33357> ice.telne 

t 0:0(0) ack 22535 win 8760 (DF) 

分 析 : 21:50:12 是 显示 的 时 间 ,847509 是 ID 号 ,eth0 二 表示 从 网 络 接口 echo. 接受 该 
数据 包 ,eth0 二 表示 从 网 络 接口 设备 发 送 数据 包 ,8:0:20:79:5b:46 是 主机 H219 的 MAC 
地 址 , 它 表 明 是 从 源 地 址 H219 发 来 的 数据 包 ,“0:90:27:58:af:1la? 是 主机 ICE 的 MAC 地 
址 ,表示 该 数据 包 的 目的 地 址 是 ICE 。ip 是 表明 该 数据 包 是 IP 数据 包 ,60 是 数据 包 的 长 
HE. h219. 33357>ice. telnet 表明 该 数据 包 是 从 主机 H219 的 33357 端口 发 往 主 机 ICE 的 
TELNET(23) 端 口 。ack 22535 表明 对 序列 号 是 222535 的 包 进 行 响应 。win 8760 表明 发 
送 窗口 的 大 小 是 8760。 

(D ARP 包 的 Tcpdump 输出 信息 。 

使 用 命令 


# tcpdum arp 
得 到 的 输出 结果 


22:32:42.802509 eth0> arp who- has route tell ice (0:90:27:58:af:1a) 

22:32:42.802902 eth0< arp reply route is- at 0:90:27:12:10:66 (0:90:27:58:af:1a) 

A lr. 22:32:42 是 时 间 戳 , 802509 是 ID 号 , eth0 二 表明 从 主机 发 出 该 数据 包 , arp 表 
明 是 ARP 请 求 包 ，who-has route tell ice 表明 是 主机 ICE 请 求 主机 ROUTE 的 MAC 地 
Ji, 0:90,27:58:af:1a 是 主机 ICE 的 MAC 地 址 。 

(5) TCP 包 的 输出 信息 

用 Tcpdumop 捕获 的 TCP 包 的 一 般 输出 信息 是 : 

src> dst: flags data- seqno ack window urgent options 

src>œdst: 表明 从 源 地 址 到 目的 地 址 , flags 是 TCP 包 中 的 标志 信息 ,是 SCSYND, 
F(FIN) .P(PUSH)、R(RST);data-seqno 是 数据 包 中 的 数据 的 顺序 号 , ack 是 下 次 期 望 的 
Wir. window 是 接收 缓存 的 窗口 大 小 ，urgent 表明 数据 包 中 是 否 有 紧急 指针 ,options 
是 选项 。 

(6) UDP 包 的 输出 信息 。 

用 Tepdump 捕获 的 UDP 包 的 一 般 输出 信息 是 : 


route.port1> ice.port2: udp lenth 
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UDP 十 分 简单 ,上 面 的 输出 行 表明 从 主机 ROUTE 的 portl 端口 发 出 的 一 个 UDP 数 
据 包 到 主机 ICE 的 port2 端口 ,类 型 是 UDP, 包 的 长 度 是 length. 

2. Windump 

Windump 是 Windows 环境 下 一 款 经 典 的 网 络 协议 分 析 软 件 ,其 UNIX 版 本 名 称 为 
Tcpdump。 它 可 以 捕捉 网 络 上 两 台 计 算 机 之 间 所 有 的 数据 包 , 供 网 络 管理 员 或 人 侵 分 析 员 
做 进一步 流量 分 析 和 和 人 侵 检测 。 在 这 种 监视 状态 下 ,任何 两 台 计 算 机 之 间 都 没有 秘密 可 言 。 

Windows 下 也 有 一 个 类 似 的 工作 . 叫 windump ,可 以 方便 的 根据 需要 进行 抓 包 。 下 面 
举例 介绍 一 下 这 个 工具 的 使 用 方法 。 

例 9-5 列 出 本 机 可 供 抓 包 的 全 部 接口 。 


windmp -D 

4 9-6 不 解析 主机 名 ,直接 显示 抓 包 的 主机 TP 地 址 。 

windump -n 

例 9-7 只 抓 关 于 192.168.1.2 主机 的 包 ( 不 管 包 的 方向 ) 。 
windump - n host 192.168.1.2 

fij 9-8 只 抓 关于 主机 192.168.1.2 上 udp 协议 端口 为 514 的 包 。 
windump -n host 192.168.1.2 and udp port 514 

例 9-9 抓 所 有 非 133.191. 1. 1 有 关 的 包 。 

windump -n host!133.191.1.1 and tcp port 3389 

£j 9-10 抓 所 有 发 送 到 133. 191. 1. 1 的 包 。 


windump -n dst host 133.191.1.1 


9.3.2 Sniffit 


Sniffit 是 由 Lawrence Berkeley Laboratory 开发 的 ,可 以 在 Linux,Solaris, SGI 等 各 种 
平台 运行 的 网 络 监 听 软 件 , 它 主要 是 针对 TCP/IP 协议 的 不 安全 性 对 运行 该 协议 的 机 器 进 
行 监听 一 一 当然 ,数据 包 必 须 经 过 运行 Sniffit 的 机 器 才能 进行 监听 ,因此 它 只 能 够 监听 在 
同一 个 网 段 上 的 机 器 。 而 且 还 能 够 自由 地 为 其 增加 某 些 插件 以 实现 额外 功能 。 

1. 安装 

软件 的 安装 很 简单 : 

(1) 用 tar zvfx sniffit. *. *. *. tgz 将 下 载 下 来 的 sniffit. *. *. *. tgz 解压 缩 到 用 户 想 要 的 
目的 文件 夹 ,会 看 到 该 目录 下 出 现 一 个 sniffit. 0.3. 7 的 目录 。 

(2) 执行 cd sniffit. 0. 3.7。 

(3) 执行 . /configure &&. make, 只 要 在 这 个 过 程 中 终端 上 没有 意外 的 error 信息 出 
现 , 则 编译 成 功 , 可 以 得 到 一 个 二 进 制 的 Sniffit 文件 。 

(4) 执行 make clean 把 不 用 的 文件 删除 。 
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2. 使 用 方法 

1) 参数 

命令 选项 如 下 : 

"v 显示 版 本 信息 。 

a -t ip nr/name> 让 程序 去 监听 指定 流向 某 IP 的 数据 包 。 

a -s —ip nr/name il f FF 2z Ws Wr JA 3€ IP 流出 的 IP 数据 包 , 可 以 使 用 @ 通 配 符 ,如 
-t 199.145. @ 。 

"ci 显示 出 窗口 界面 ,能 察看 当前 在 你 所 属 网 络 上 进行 连接 的 机 器 。 

-I 扩展 的 交互 模式 ,忽略 所 有 其 他 选项 , 比 -i 强大 得 多 。 

a -c <file> 利用 脚本 来 运行 程序 。 

a -F <device> 强制 使 程序 使 用 网 络 硬盘 。 

"-n 显示 出 假 的 数据 包 。 像 使 用 ARP.RARP 或 者 其 他 不 是 IP 的 数据 包 也 会 显示 出 来 。 

a -N 只 运行 plugin 时 的 选项 ,使 其 他 选项 失效 。 

在 -i 模式 下 无 法 工作 的 参数 : 

a -b 同时 做 -t 和 -s 的 工作 。 

a -d 将 监听 所 得 内 容 显 示 在 当前 终端 一 一 以 十 六 进 制 表示 。 

a -a 将 监听 所 得 内 容 显 示 在 当前 终端 一 一 以 ASCI 字符 表示 。 

a -x 打印 TCP 包 的 扩展 信息 (SEQ，ACK,， Flags) ,可 以 与 -a', -d', Ys', "t", b' 

一 起 运作 , 它 是 输出 在 标准 输出 的 ,如 果 只 用 -t,-s,-b 而 没有 其 他 参数 配合 的 话 不 会 

被 写 人 文件 。 

-R <file> 将 所 有 通信 记录 在 文件 中 。 

-r <file> 这 一 选项 将 记录 文件 送 往 sniffit, 它 需要 -F 的 参数 配合 指明 设备 ,假设 你 

FH 'etho "(第 一 块 网 卡 ) 来 记录 文件 ,必须 在 命令 行 里 面 加 上 -F etho 或 者 “或 者 ?或 者 

-F eth rA, 遇 到 不 认识 的 字符 时 用 指定 的 字符 代替 -P < protocol 定义 监听 的 协 

议 ,DEFAULT 为 TCP ,也 可 以 选 IP.ICMP,UDP 等 。 

-p prot 过 定义 监听 端口 ,默认 为 全 部 。 

-l <length> 设 定数 据 包 大 小 ,default 是 300 FH., 

-M 二 plugin 激活 插件 。 

l.i 模式 下 的 参数 。 

a -D «device 所 有 的 记录 会 被 送 到 这 个 磁盘 上 。 

-c 模式 下 的 参数 。 

-L-logparam--, H} logparam 可 以 是 如 下 的 内 容 : 

。 raw: 轻 度 ; 

* norm; 常规 ; 

* telnet; 记录 口令 (端口 23); 

* ftp: 记录 口令 (端口 21); 

* mail : 记录 信件 内 容 ( 端 口 25) ,例如 ,ftpmailnorm 就 是 一 个 合法 的 logparam。 

2) 图 形 仿 真 界面 

图 形 仿 真 界面 就 是 上 面 所 说 的 -i 选项 啦 , 我 们 输入 sniffit -i 会 出 现 一 个 窗口 环境 ,从 中 
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可 以 看 到 自己 所 在 的 网 络 中 有 哪些 机 器 正在 连接 ,使 用 什么 端口 号 ,其 中 可 用 如 下 命令 ， 
a q 退出 窗口 环境 ,结束 程序 。 
sr 刷新 屏幕 ,重新 显示 正在 连 线 的 机 器 。 
an 产生 一 个 小 窗口 .包括 TCP、IP、ICMP、UDP 等 协议 的 流量 。 
mg 产生 数据 包 , 正 常情 况 下 只 有 UDP 协议 才 会 产生 ,执行 此 命令 要 回答 一 些 关 于 数 
据 包 的 问题 。 
n Fl 改变 来 源 网 域 的 IP 地 址 ,默认 为 全 部 。 
a F2 改变 目的 网 域 的 IP 地 址 ,默认 为 全 部 。 
a F3 改变 来 源 机 器 的 端口 号 ,默认 为 全 部 。 
n FA 改变 目的 机 器 的 端口 号 ,默认 为 全 部 。 
3) 一 些 示 例 
假设 在 一 个 子 网 中 有 两 台 主机 ,一 台 运 行 了 Sniffer, 称 之 为 sniffit. com; 男 一 台 是 66. 
66. 66.7, 称 之 为 target. com, 
(D 检查 Sniffer 是 否 能 运行 : 
sniffit:~ /#sniffit-d-p 7-t 66.66.66.7 
并 且 开 另 一 个 窗口 : 
sniffit:~ /$ telnet target.com 7 
可 以 看 到 sniffer 将 telnet 到 对 方 7 号 端口 echo 服务 的 包 捕 获 了 。 
(2) 截获 target. com 上 的 用 户 密码 : 
sniffit:~ /#sniffit-p 23-t 66.66.66.7 
(3) target. com 主机 的 根 用 户 声称 有 奇怪 的 FTP 连接 并 且 和 希望 找 出 它们 的 击 键 : 
sniffit:- /#sniffit-p 21- 1 0- t 66.66.66.7 
(4) 能 阅读 所 有 进出 target. com 的 信件 : 
sniffit:~ /#sniffit-p 25-1 0-b-t 66.66.66.7 & 
或 者 
sniffit:- /#sniffit-p 25-1 0-b-s 66.66.66.7 & 
(5) 使 用 用 户 交 互 界面 : 
sniffit:~ /#sniffit- i 
C6) 有 错误 发 生 而 且 和 希望 截获 控制 信息 : 


sniffit:~ /#sniffit- P ian- b- s 66.66.66.7 


9.3.3 Ettercap 


从 网 络 嗅 探 的 原理 来 看 ,如 果 不 通过 交换 设备 的 监视 端口 或 者 广播 信息 是 难于 进行 网 
络 嗅 探 的 ,那么 是 不 是 在 没有 监视 端口 下 的 交换 局 域 网 中 就 不 能 进行 网 络 监控 了 呢 ? 实际 
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上 不 是 这 样 的 , 接 下 来 介绍 一 种 多 功能 的 交换 局 域 网 环境 中 的 网 络 嗅 探 工具 Ettercap 。 

Ettercap 最 初 是 设计 为 交换 网 上 的 网 络 嗅 探 工具 , 随 着 发 展 , 它 获得 了 越 来 越 多 的 功 
能 ,成 为 一 款 有 效 的 .灵活 的 中 介 攻 击 工具 。 它 支持 主动 及 被 动 的 协议 解析 并 包含 了 许多 网 
络 和 主机 特性 (如 OS 指纹 等 ) 分 析 。 

1. Ettercap 的 工作 方式 

Ettercap 有 5 种 Sniffing 工作 方式 : 

(1) IPBASED; 在 基于 IP 地 址 的 Sniffing 方式 下 ,Ettercap 将 根据 源 IP 地 址 和 端口 ， 
以 及 目的 TP 和 端口 来 捕获 数据 包 。 

(2) MACBASED: 在 基于 MAC 地 址 的 方式 下 ,Ettercap 将 根据 源 MAC 和 目的 MAC 
来 捕获 数据 包 , 这 种 方式 在 捕获 通过 网 关 的 数据 包 时 很 有 用 。 

(3) ARPBASED: 在 基于 ARP 欺骗 的 方式 下 ,Ettercap 利用 ARP 欺骗 在 交换 局 域 网 
内 监听 两 个 主机 之 间 的 全 双 工 通信 。 

(4) SMARTARP: 在 SMARTARP 方式 下 ,Ettercap 利用 ARP 欺骗 ,监听 交换 网 上 某 
台 主 机 与 所 有 已 知 的 其 他 主机 (存在 于 主机 表 中 的 主机 ) 之 间 的 全 双 工 通信 。 

(5) PUBLICARP: 在 PUBLICARP 方式 下 ,Ettercap 利用 ARP 欺骗 ,监听 交换 网 上 某 
台 主 机 与 所 有 其 他 主机 之 间 的 通信 ( 半 双 工 )。 此 方式 以 广播 方式 发 送 ARP 响应 ,但 是 如 
果 Ettercap 已 经 拥有 了 完整 的 主机 地 址 表 ( 或 在 Ettercap 启动 时 已 经 对 LAN 上 的 主机 进 
行 了 扫描 ) ,Ettercap 会 自动 选取 SMARTARP 方式 ,而 且 ARP 响应 会 发 送 给 被 监听 主机 
之 外 的 所 有 主机 ,以 避免 在 Windows 2000 上 出 现 IP 地 址 冲突 的 消息 。 

2. Ettercap 中 最 常用 的 功能 

CD 在 已 有 连接 中 注入 数据 : 可 以 在 维持 原 有 连接 不 变 的 基础 上 向 服务 器 或 客户 端 注 
和 数据 ,以 达到 模拟 命令 或 响应 的 目的 。 

(2) SSH 支持 : 可 以 捕获 SSH 连接 上 的 User 和 PASS 信息 ,甚至 是 其 他 数据 。 
Ettercap 是 第 一 个 在 全 双 工 的 条 件 下 监听 SSH 连接 的 软件 。 

(3) HTTPS 支持 : 可 以 监听 HTTP SSL 连接 上 加 密 数 据 , 甚 至 可 以 监听 通过 代理 的 
连接 。 

(4) 监听 通过 GRE 通道 的 远程 通信 : 你 可 以 通过 监听 来 自 远程 Cisco 路 由 器 的 GRE 
通道 的 数据 流 ,并 对 它 进 行 中 间 人 攻击 。 

(5) Plug-in 支持 : 可 以 通过 Ettercap 的 API 创建 自己 的 Plug-in, 

(6) 口令 收集 : 可 以 收集 以 下 协议 的 口令 信息 , TELNET, FTP, POP, RLOGIN, 
SSH1. ICQ, SMB, MySQL, HTTP, NNTP, X11. NAPSTER, IRC, RIP, BGP, SOCK5. 
IMAP4. VNC,LDAP,NFS, SNMP, HALFLIFE, QUAKE3. MSNYMSG ,当然 不 久 还 会 有 
新 的 协议 获得 支持 。 

(7) 数据 包 过 滤 和 丢弃 : 可 以 建立 一 个 查找 特定 字符 串 ( 甚 至 包括 十 六 进 制 数 ) 的 过 滤 
链 , 根 据 这 个 过 滤 链 对 TCP/UDP 数据 包 进 行 过 滤 并 用 自己 的 数据 蔡 换 这 些 数据 包 , 或 丢 
弃 整 个 数据 包 。 

(8) 被 动 的 OS 指纹 提取 : 可 以 被 动 地 (不 必 主 动 发 送 数 据 包 ) 获 取 局 域 网 上 计算 机 系 
统 的 详细 信息 ,包括 操作 系统 版 本 、 运 行 的 服务 .打开 的 端口 .IP 地 址 .MAC 地 址 和 网 卡 的 
生产 厂家 等 信息 。 
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(9) OS 指纹 : 可 以 提取 被 控 主 机 的 OS 指纹 以 及 它 的 网 卡 信息 (利用 NMAP Fyodor 
数据 库 ) o 

(10) 杀 死 一 个 连接 : 杀 死 当前 连接 表 中 的 连接 ,甚至 所 有 连接 。 

QD 数据 包 生 产 : 可 以 创建 和 发 送 伪造 的 数据 包 。 人 允许 伪造 从 以 太 帧 头 到 应 用 层 的 
所 有 信息 。 

(12) 把 捕获 的 数据 流 绑 定 到 一 个 本 地 端口 : 可 以 通过 一 个 客户 端 软 件 连接 到 该 端口 
上 ,进行 进一步 的 协议 解码 或 向 其 中 注入 数据 ( 仅 适 用 于 基于 ARP 的 方式 ) 。 

上 面 介 绍 了 Ettercap 的 优点 在 于 : 它 不 需要 libpcap.libnet 等 常用 库 的 支持 ; 基于 
ARP 欺骗 的 sniffing 不 需要 把 执行 ettercap 的 主机 的 网 卡 设置 为 全 收 方式 ;支持 后 人 台 执 行 。 

3. Ettercap 的 功能 选项 

1) 监听 方式 

Ettercap 的 监听 方式 包括 “基于 ARP 的 sniffing” “IEF IP 的 监听 ”和 “基于 MAC 的 
监听 ”。 

(D 基于 ARP 的 sniffing。 当 参数 为 : -a,--arpsniff 时 就 指定 监听 交换 网 的 方式 。 如 
果 要 采用 中 间 人 技术 进行 攻击 ,必须 选用 这 个 选项 。 如 果 这 个 参数 与 静音 方式 (-z 选项 ) 连 
用 ,必须 为 ARPBASED 方式 指定 两 对 IP-MAC 地 址 (全 双 工 ) ,或 者 为 PUBLICARP 方式 
指定 一 个 IP-MAC 地 址 ( 半 双 工 )。 在 PUBLICARP 方式 下 ,ARP 响应 是 以 广播 方式 发 送 
的 ,但 是 ,如 果 Ettercap 拥有 了 完整 的 主机 表 ( 在 启动 时 对 局 域 网 进行 了 扫描 ), Ettercap 会 
自动 选择 SMARTARP 方式 ,ARP 响应 会 发 送 给 除了 被 控 主 机 以 外 的 所 有 主机 ,同时 建立 

一 个 Hash 表 , 以 便 以 后 在 全 双 工 条 件 下 的 中 间 人 攻击 中 可 以 将 数据 包 从 监听 主机 发 送 给 
以 这 种 方式 截获 的 客户 。 

如 果 采 用 SMARTARP 方式 的 ARP 欺骗 ,要 在 配置 文件 中 设置 网 关 的 IP 地 址 (GWIP 
选项 ) ,并 通过 -e 选项 加 载 这 个 文件 ,否则 这 个 客户 将 无 法 连接 到 远程 主机 。 需 要 进行 包 替 
换 或 包 丢 弃 的 数据 包 过 滤 的 功能 仅仅 可 以 在 ARPBASED 方式 下 使 用 ,因为 为 了 保持 连接 
必须 调整 数据 包 的 TCP 序列 号 。 

(2) 基于 IP 的 监听 。 当 参数 为 -s,--sniff 时 ,就 是 在 基于 IP 进行 监听 。 这 是 最 早 的 监 
听 方 式 。 它 适用 于 广播 式 集线器 环境 ,但 在 交换 网 下 没 用 。 在 这 项 功能 中 可 以 仅 指定 源 或 
目的 IP 地 址 ,可 以 指定 也 可 以 不 指定 端口 , 当 什 么 都 没 指定 的 时 候 , 就 意味 着 监听 网 上 的 所 
有 主机 。 当 然 可 以 用 ANY 来 表示 IP 地 址 ,其 意思 是 来 自 或 去 往 每 一 个 主机 。 

G) 基于 MAC 的 监听 。 当 参数 为 -m,-macsniff 时 ,是 根据 MAC 地 址 进行 监听 。 这 种 
方式 适用 于 监听 远程 的 TCP 通信 。 在 集线器 环境 下 ,如 果 要 监听 通过 网 关 的 连接 ,仅仅 指 
定 要 监视 主机 的 TP 和 网 关 的 IP 是 不 行 的 ,因为 数据 包 是 从 外 部 主机 发 送 的 ,而 不 是 从 网 关 
发 送 的 ,所 以 不 能 采取 指定 IP 地 址 的 方法 。 为 了 达到 监视 内 外 通信 的 目的 ,要 指定 被 监视 
主机 的 MAC 地 址 和 网 关 的 MAC 地 址 ,这 样 就 可 以 监视 被 监听 主机 的 所 有 Internet 通信 。 

2) 脱 机 监听 

如 果 使 用 了 参数 -T,--readpcapfile FILE- Hf .Ettercap 实际 上 是 监听 一 个 pcap 兼容 
文件 中 存储 的 网 络 数据 包 ,而 不 是 直接 监听 网 络 上 的 数据 包 。 也 就 是 从 文件 中 读 取 网 络 数 
据 包 ,这 些 文件 可 以 是 tepdump 存储 下 来 的 文件 或 是 ethereal 转 储 的 数据 文件 。 可 以 运用 
这 个 选项 参数 实现 对 于 这 些 文件 的 分 析 。 
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当然 Ettercap 本 身 也 有 数据 的 转 储 功能 ,运用 参数 -Y ,一 writepcapfile 过 FILE 之 可 以 将 
数据 包 转 储 到 一 个 pcap 格式 的 文件 中 。 当 必须 要 在 一 个 交换 的 局 域 网 上 使 用 主动 sniffing 
(通过 ARP 欺骗 ) 方 式 监听 ,但 又 希望 利用 tepdump 或 ethereal 对 截获 的 数据 包 进行 分 析 ， 
就 可 以 选用 这 个 选项 。 利 用 这 个 选项 时 是 把 监听 到 的 数据 包 转 储 在 一 个 文件 中 ,然后 加 载 
到 适当 的 应 用 程序 中 进行 分 析 。 

3) 通用 选项 

COD 非 交 互 方式 。 当 使 用 参数 -N,--simple 时 ,就 是 在 使 用 非 交 互 式 的 方式 ,这 种 工作 
方式 十 分 有 用 ,如 果 希 望 从 一 个 脚本 提交 Ettercap, 或 者 已 经 了 解 一 些 目 标 信息 ,或 者 要 在 
后 台 提 交 Ettercap, 让 它 收集 数据 或 口令 信息 (与 -quite 选项 连用 ) 时 ,就 可 以 采用 这 个 选 
项 。 在 这 种 工作 方式 下 ,Ettercap 的 某 些 功 能 无 法 实现 ,如 字符 注入 等 需要 交互 式 处 理 的 功 
能 。 但 其 他 功能 仍 得 到 全 面 支持 ,如 过 滤 功 能 。 所 以 可 以 让 Ettercap 对 两 个 主机 进行 ARP. 
欺骗 (一 台 被 监视 主机 和 它 的 网 关 ) ,并 过 滤 它 的 所 有 在 80 端口 的 连接 ,并 用 一 些 字符 串 进 
行 替换 ,那么 它 到 Internet 的 所 有 通信 都 会 按照 要 求 而 改变 。 

(2) 以 静音 方式 启动 (在 启动 时 没有 ARP 风暴 )。 如 果 以 非 攻击 方式 启动 Ettercap( 某 
些 NIDS 检测 到 过 多 的 ARP 请 求 时 会 产生 报警 信息 ) ,所 选用 的 参数 为 -z,--silent。 在 选用 
这 个 选项 前 ,必须 了 解 有 关 目 标 系统 的 所 有 必要 的 信息 。 例 如 ,如 果 要 欺骗 两 台 主 机 ,就 需 
要 知道 这 两 台 主机 的 IP 地 址 和 MAC 地 址 。 如 果 选 择 了 IP 监听 或 MAC 监听 ,会 自动 选择 
这 个 选项 ,因为 你 不 需要 知道 局 域 网 上 的 主机 列表 。 如 果 你 想 要 了 解 全 部 主机 信息 ,使 用 
ettercao-N1 选项 ,但 需要 指出 的 是 ,这 种 方式 是 带 有 攻击 性 的 。 

G) 以 被 动 方式 收集 信息 。 当 使 用 参数 -0,--passive 的 时 候 , 采 用 的 就 是 被 动 的 数据 获 
取 方 式 ,这 种 方式 不 会 向 网 上 发 送 任何 数据 包 , 它 会 将 网 卡 置 于 全 收 方式 ,并 查看 流 经 的 数 
据 包 。 它 将 分 析 每 一 个 需 关注 的 数据 包 (SYN 和 SYN + ACK) ,并 利用 这 些 信息 建立 完整 
的 局 域 网 主机 映射 图 。 所 收集 的 信息 包括 主机 的 IP 和 MAC 地 址 、 网 卡 生产 三家、 操作 系 
统 类 型 (被 动 OS 指纹 ) 和 运行 的 服务 等 。 在 这 个 列表 中 还 会 包含 其 他 一 些 信息 ,如 : GW X 
示 该 主机 是 一 个 网 关 ;NL 表示 这 个 IP 不 属于 本 网 段 ;RT 表示 该 主机 发 挥 了 路 由 器 的 功 
能 。 如 果 需 要 通过 被 动 方式 建立 一 个 完整 的 主机 列表 的 时 候 ,可 以 选择 这 个 选项 。 当 对 所 
收集 的 信息 感到 满意 的 时 候 , 可 以 通过 按 下 C 键 , 把 收集 的 信息 转换 为 主机 列表 ,然后 按照 
通常 的 方式 工作 。 在 下 面 将 解释 在 sample 方式 下 ,本 选项 的 作用 。 

(4) 启用 广播 的 方式 。 当 参数 为 -b,-broadping 时 ,就 是 在 启动 时 利用 广播 Ping, 而 不 
是 ARP 风暴 来 获得 网 络 主机 信息 。 这 种 方法 的 可 靠 性 差 ,准确 性 也 低 。 有 些 主机 不 会 响 
应 广播 Ping( 如 Windows 系统 ) ,所 在 这 种 方式 下 ,这些 主机 是 不 可 见 的 。 如 果 想 要 扫描 局 
域 网 上 的 Linux 主机 ,这 个 选项 是 非常 有 用 的 。 通 常 可 以 把 这 个 选项 --list 选项 连用 以 便 获 
得 主机 列表 ettercap-Nlb。 

如 果 选 择 了 ARP 欺骗 方式 ,可 以 利用 这 个 选项 -D, 一 delay <n sec 二 来 控制 ARP 响应 
之 间 的 延迟 秒 数 。 如 果 和 希望 这 种 欺骗 数据 流 不 要 过 于 集中 ,这 个 选项 是 很 有 帮助 的 。 在 大 
多 数 操作 系统 中 ,默认 的 ARP 缓存 有 效 时 间 间 隔 超 过 一 分 钟 (在 FreeBSD. 系统 中 为 
1200s) 。 默 认 的 延迟 为 30s。 

参数 -Z, 一 stormdelay <n u sec 二 用 于 指定 在 ARP 风暴 开始 后 ARP 请 求 之 间 的 延迟 
微 秒 数 。 如 果 和 希望 扫描 不 要 过 于 集中 可 以 使 用 这 个 选项 。 许 多 IDS 对 过 于 大 量 的 ARP 请 
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求 会 产生 报警 信息 ,但 是 如 果 用 低 一 些 的 速率 发 送 ARP 数据 包 ,IDS 将 不 会 报告 任何 异常 
事件 。 默认 的 延迟 时 间 为 1500ms。 

如 果 想 欺骗 IDS, 可 以 利用 一 个 伪造 的 IP 来 进行 局 域 网 ARP 扫描 。 这 时 就 可 以 选用 
参数 -S, 一 spoof <IP>., fHifi MAC 地 址 不 能 伪造 ,因为 良好 配置 的 交换 机 会 阻 断 这 样 的 请 

参数 -H -hosts 二 IP1[ ,IP2J[ ,IP3][,…] 二 指定 在 启动 时 仅 扫描 这 些 主机 。 

如 果 希 望 仅 对 某 些 IP 进行 ARP 扫描 的 时 候 , 可 以 选用 这 个 选项 。 这样 , 既 可 以 从 
ARP 扫描 中 获得 好 处 ,又 可 以 尽量 保持 低 攻 击 性 。 甚 至 在 希望 采用 PUBLIC ARP 方式 ,但 
又 想 仅仅 欺骗 某 几 个 主机 的 时 候 , 这 个 选项 也 是 很 有 用 的 。 由 于 在 拥有 主机 列表 的 情况 下 
PUBLIC ARP 方式 会 自动 转换 为 SMARTARP 方式 ,只 有 这 些 主机 被 欺骗 ,可 以 保持 其 他 
主机 的 ARP 缓存 不 受 影响 。IP 地 址 表 的 表示 法 为 : 点 分 制 表 示 的 IP 地 址 ,地 址 之 间 用 分 
号 分 隔 ( 在 它们 之 间 没 有 空格 ) ,还 可 以 用 中 横 线 表示 一 个 IP 地 址 范围 或 一 个 IP 地 址 表 ( 使 
用 逗号 ) 。 例 如 ， 

e 192. 168.0. 2-25: 从 2 到 25。 

。 192. 168.0.1,3,5: 主机 1. 3 和 5。 

e 192. 168. 0. -3. 1-10;192. 168. 4,5,7: 将 要 在 子 网 192. 168. 0.192. 168. 1.192. 168. 2. 

192. 168. 3 中 扫描 主机 1 到 10, 以 及 在 子 网 192. 168. 4 中 扫描 主机 5 和 7。 

参数 -d,--dontresolve 是 用 于 在 启动 时 不 解决 IP。 如 果 在 启动 程序 时 遭遇 疯狂 的 
“Resolving n hostnames…” 消 息 时 ,这 个 选项 会 有 所 帮助 。 这 种 情况 是 由 于 网 络 中 的 DNS 
非常 慢 而 造成 的 。 

参数 -1,--iface 二 IFACE 二 用 于 所 有 操作 所 针对 的 网 络 接口 。 

可 以 利用 参数 -n,--netmask 二 NETMASK 二 指定 一 个 网 络 别名 ,用 于 扫描 局 域 网 络 的 
网 络 掩 码 (以 点 分 制 表 示 ), 以 便 扫描 与 当前 IP 不 同 的 子 网 。 默 认 的 网 络 掩 码 为 当前 
ifconfig 中 定义 的 掩 码 。 但 是 ,如 果 掩 码 为 255. 255. 0. 0 ,那么 如 果 要 在 启动 时 进行 ARP f 
描 的 话 ,应 该 另外 指定 一 个 限制 更 强 的 掩 码 。 

参数 -e,--etterconf 二 FILENAMEQ 表 示 你 要 使 用 配置 文件 ,而 不 是 命令 行 参数 。 

在 软件 的 tar 包 中 有 一 个 etter. conf 文件 ,其 中 包含 一 些 配置 范例 ,用 户 可 以 参考 这 些 
范例 来 了 解 如 何 编写 配置 文件 ,在 这 些 例子 中 给 出 了 所 有 的 指导 信息 。 通 过 配置 文件 ,可 以 
有 选择 性 地 禁止 某 个 协议 分 析 或 把 它 转移 到 另 一 个 端口 。 命 令 行 选项 和 配置 文件 可 以 非常 
灵活 地 混合 使 用 ,需要 记 住 的 是 配置 文件 中 的 选项 压倒 命令 行 选项 ,所 以 ,如 果 在 etter. 
conf 指定 了 IFACE: eth0 ,并 且 在 启动 程序 的 时 候 指 定 了 ettercap -i ethl -e etter. conf , 那 
么 最 终 的 选择 结果 是 eth0 。 

注意 : -e etter. conf 选项 必须 在 所 有 选项 的 后 面 出 现 , 也 就 是 说 它 必须 是 最 后 一 个 
选项 。 

标志 -g,--linktype 有 两 个 补充 功能 ,因此 要 十 分 注意 。 如 果 这 个 标志 用 于 交互 式 方式 ， 
它 不 检查 局 域 网 的 类 型 。 另 一 方面 ,如 果 与 命令 行 方式 (-N) 连 用 , 它 要 对 局 域 网 进行 检查 ， 
以 了 解 它 是 否 是 一 个 交换 网 。 有 时 ,如 果 在 局 域 网 内 只 有 两 台 主 机 ,这 种 发 现 方法 有 可 能 

参数 -j ,一 loadhosts 过 FILENAME> 用 于 从 指定 的 文件 中 加 载 主机 表 , 该 文件 是 通过 -K 
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选项 创建 的 。 而 参数 -k,--savehosts 把 主机 列表 保存 到 文件 中 。 ee 
并 且 不 希望 在 每 一 次 启动 的 时 候 都 做 一 次 ARP 风暴 的 时 候 , 这 项 是 很 有 帮助 的 。 也 
就 是 只 要 指定 这 个 选项 ,并 把 列表 转 储 到 一 个 文件 中 。 a 
项 从 文件 中 加 载 这 些 信息 。 文 件 名 的 形式 为 : 


netaddress neymask.etl 


参数 -v, 一 version 用 于 检查 最 新 的 ettercap 版 本 。 在 使 用 这 个 选项 的 时 候 , 所 有 操作 都 
在 控制 之 下 。 每 一 个 步骤 都 需要 用 户 确认 。 利 用 这 个 选项 ettercap 将 连接 到 http:// 
ettercap. sourceforge. net:80 Web 站 点 ,并 请 求 /latest. php ,然后 分 析 查 询 结果 并 与 当前 版 
本 进行 比较 。 如 果 有 一 个 更 新 的 版 本 可 用 ,ettercap 将 询问 是 否 需要 wget( 必 须 在 路 径 中 ) 。 
如 果 想 要 对 所 有 的 问题 自动 回答 yes ,增加 选项 -y 

A) 静音 方式 选项 ( 仅 可 以 和 -N 选项 连用 ) 

参数 -t,-proto<PROTO 二 表示 仅 监听 协议 PROTO 的 数据 包 ( 默 认为 TCP 十 UDP) 。 

这 个 选项 仅 在 simple 方式 下 有 用 ,如 果 以 交互 式 方式 启动 ettercap, TCP 和 UDP 数据 
包 都 将 被 监听 。PROTO 可 以 是 tep 或 udp 或 all。 

选项 -],--onlypoison 使 ettercap 不 监听 任何 数据 流 ,但 仅 对 目标 进行 欺骗 。 如 果 需 要 
利用 ettercap 进行 欺骗 ,而 用 其 他 的 软件 tepdump 或 ethereal 进行 监听 时 ,可 以 利用 这 个 选 
项 (注意 在 这 种 方式 下 要 使 能 IP. forwarding) 。 

另外 一 种 用 法 是 多 目标 监听 。 即 可 以 利用 ettercap 监听 两 个 目标 之 间 的 连接 信息 
(ARPBASED) ,或 某 一 个 目标 的 进出 信息 CSMART ARP)。 利 用 这 个 选项 ,可 以 同时 监听 
若干 目标 (因为 同时 启动 了 多 个 程序 )。 启 动 第 一 个 程序 时 选用 SMART ARP, 并 用 -H 选 
项 限制 smart 功能 , 仅 针对 想 要 欺骗 的 主机 进行 ( 记 住 如 果 在 欺骗 中 涉及 了 网 关 , 必 须 在 以 
smart 方式 运行 的 实例 中 指定 它 )。 然 后 再 启动 其 他 的 ettercap-]J。 

当 设置 为 -R,--reverse 时 ,是 监听 除 选择 的 连接 以 外 的 所 有 连接 。 如 果 在 一 个 远程 主 
机 上 使 用 ettercap ,并 且 要 求 监听 除了 自己 的 从 本 地 到 远程 的 连接 以 外 的 所 有 其 他 连接 时 ， 
可 以 选择 这 个 选项 。 因 为 如 果 包 含 了 这 样 的 连接 将 会 使 ettercap 监听 自己 的 输出 ,并 不 断 
迭 加 上 去 。 

参数 -O,passive 是 以 被 动 的 方式 收集 信息 。 在 Simple 方式 下 ,可 以 在 许多 方式 中 选择 
这 个 选项 。ettercap -NO 将 以 半 交 互 的 方式 启动 ettercap ,输入 h 来 获得 帮助 信息 。 可 以 查 
看 收集 的 信息 ,也 可 以 把 它们 记录 到 日 志文 件 中 ,或 简单 地 浏览 分 析 的 数据 包 。ettercap 
-NOL 与 上 面 的 方式 相 类 似 , 不 过 它 会 自动 地 把 数据 记录 到 文件 中 ,记录 的 时 间 间 隔 是 5 分 
钟 。ettercap -NOLq 使 ettercap 每 5 分 钟 把 日 志 写 到 文件 中 。 

运行 外 部 插件 NAME 时 需要 使 用 参数 -p,--plugin NAME X Hii (sis 3 — 
目标 主机 ,这 只 要 在 插件 的 名 字 后 面 指定 目标 主机 就 可 以 了 。 事 实 上 ,在 命令 行 上 的 主机 解 
析 中 ,第 一 个 主机 为 DEST,SOURCE 也 同样 。 为 了 获得 可 用 的 外 部 插件 列表 ,使 用 list 作 
为 插件 的 名 字 。 由 于 ettercap 0. 6. 2 提供 了 钧 子 插件 系统 ,所 以 一 些 插件 并 不 是 作为 独立 
的 程序 运行 的 ,它们 可 以 和 ettercap 交互 ,可 以 通过 接口 或 配置 文件 使 能 或 禁止 。 有 关 插 件 
的 详细 信息 以 及 如 何 编写 自己 的 插件 ,可 以 在 README. PLUGING 文件 中 找到 。 

用 -1,--list 列 出 局 域 网 中 的 所 有 主机 ,报告 每 一 个 MAC 地址 。 这 个 选项 通常 与 -b(Ping 
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广播 ) 选 项 和 -d( 不 解释 IP 的 主机 名 ) 选 项 连用 。 

命令 参数 -C,--collect 收集 在 命令 行 上 指定 的 那些 主机 的 所 有 用 户 和 口令 信息 。 

在 配置 文件 (etter. conf) 中 配置 口令 收集 器 ,如 果 需 要 的 话 , 可 以 有 选择 性 地 禁止 它们 ， 
或 者 把 它们 转移 到 另 一 个 端口 。 如 果 不 希 望 收集 SSH 连接 信息 ,但 收集 其 他 所 有 协议 的 数 
据 的 时 候 ,这 个 选项 很 有 用 。 如 果 已 知 某 一 台 主 机 在 端口 4567 上 提供 Telnet 服务 ,只 要 把 
Telnet 解码 移动 到 4567/tcp 就 可 以 了 。 

参数 -{,--fingerprint 过 HOST 是 对 主机 进行 OS 指纹 收集 。 这 个 选项 利用 与 nmap 
所 使 用 的 相同 的 方法 和 数据 库 : Fyodor fyodor@insecure. org, 这 个 选项 通过 TCP/IP 指纹 
来 标识 远程 主机 。 换 句 话说 , 它 通过 一 套 技 术 来 检测 被 扫描 主机 的 网 络 协议 栈 的 特征 。 它 
利用 这 些 信息 建立 一 个 指纹 ,这 个 指纹 将 同 已 知 OS 指纹 库 相 比较 ,从 而 确定 所 扫描 主机 的 
系统 类 型 。 

二 选项 甚至 可 以 向 你 提供 被 扫描 主机 所 用 的 网 络 适配器 的 生产 厂家 。 这 些 信息 被 存放 
在 mac-fingerprints 数据 库 中 。 

-x.--hexview 则 以 十 六 进 制 数 方式 转 储 数据 。 

提示 : 在 监听 的 时 候 , 可 以 改变 显示 效果 ,只 要 按 X 键 或 H 键 就 可 以 实现 按 十 六 进 制 
数 显示 或 按 ASCII 字符 显示 。 

2C L.--logtofile 单独 使 用 时 ,会 把 所 有 数据 保存 到 特定 的 文件 中 。 它 会 为 每 一 个 连接 
建立 一 个 单独 的 文件 ,在 UNIX 系统 下 文件 名 为 YYYYMMDD-P-IP: PORT-IP:PORT. log。 

在 Windows 环境 下 的 文件 名 为 P-IPCPORT]-IP[PORT]. log。 如 果 与 C 参数 连用 , 它 会 
创建 一 个 名 为 YYYYMMDD-collected-pass. log 文件 ,其 中 记录 了 所 有 监听 到 的 口令 信息 。 

如 果 希 望 以 后 台 工 作 方式 记录 所 有 的 数据 ,可 以 使 用 选项 -q,--quiet。 这 个 选项 将 使 
ettercap 脱离 当前 的 tty, 并 把 它 设置 为 一 个 daemon。 这 个 选项 必须 与 -NL( 或 -NCL) 选 项 
联合 使 用 ,和 否则 的 话 没 有 任何 作用 。 显 然 , 还 需要 指定 一 种 监听 方式 ,因此 这 个 选项 还 要 和 
一 个 表示 监听 方式 的 选项 相配 合 。 

运用 参数 -w,--newcert 时 ,Ettercap 为 HTTPS 中 介 攻 击 方式 创建 一 个 新 的 cert 文件 。 
如 果 想 利用 社会 工程 方式 获得 的 信息 创建 一 个 cert 文件 ,可 以 使 用 这 个 选项 。 新 创建 的 文 
件 保存 在 当前 工作 目录 下 。 为 了 长 期 替换 默认 的 cert 文件 (etter. ssl. crt) ,必须 改写 /usr. 
local/ share/etter. ssl. crt。 

参数 -F,--filter FILENAME M X fF FILENAME 中 加 载 过 滤 链 。 过 滤 链 文件 是 用 
伪 XML 格式 编写 的 。 可 以 通过 手工 改写 文件 或 通过 ettercap 的 用 户 界 面 来 让 ettercap 创 
建 这 个 文件 (在 连接 表 界 面 中 按 下 键 )。 如 果 很 熟悉 XML 语言 分 析 , 可 以 写 自己 的 程序 来 
建立 过 滤 链 文件 。 

过 滤 规 则 很 简单 ,格式 如 下 : 


if (MX «proto» iim O «source» 目的 端口 <dest> 数 据 流 < search> (匹配 ) 规则 )==TEOE) 
响应 <action> ; 

«goto» (过 滤器 id ; 

<elsegoto> 


当 志 elsegoto> 后 面 没有 选项 (为 空 的 时 候 ) , 则 过 滤 链 断 掉 。 如 果 源 端口 和 目的 端口 
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为 0, 就 意味 着 任意 端口 。 如 果 要 禁止 过 滤 链 ,在 监听 过 程 中 按 S( 源 ) 键 或 D( 目 的 ) 键 。 

注意 : 在 命令 行 上 ,对 主机 的 解析 为 ettercap-F etter. filter DEST SOURCE。 所 以 第 
一 个 主机 被 绑 定 到 目的 链 , 第 二 个 主机 被 绑 定 到 源 链 。 源 链 规则 应 用 到 从 源 发 出 的 数据 上 ， 
而 不 是 发 送 到 源 的 数据 上 ,对 目的 地 址 也 是 同样 。 

运用 参数 -c,--check 来 检查 是 否 被 局 域 网 上 特定 目标 中 的 其 他 欺骗 者 所 欺骗 。 

对 命令 行 上 的 目标 主机 的 解析 是 反 向 的 。 第 一 个 主机 是 DEST, 第 二 个 主机 是 
SOURCE。 如 果 在 基于 IP 的 方式 下 监听 ,这 个 顺序 没有 关系 ,因为 源 和 目的 都 被 忽略 了 。 
但 是 如 果 对 连接 进行 过 滤 ,这 个 顺序 对 于 绑 定 到 相关 的 过 滤 链 就 很 重要 了 。 这 个 反 向 的 顺 
序 是 由 于 与 插件 更 加 灵活 的 接口 。 因 为 有 些 插 件 需要 指定 目标 主机 ,那么 ettercap-Np ooze 
victim 这 种 形式 要 比 ettercap-Np ooze NOONE victim 简单 一 些 。 可 以 用 点 分 制 的 格式 来 
输入 目标 (192. 168. 0. 1) 或 者 以 域名 的 格式 来 输入 目标 (victim. mynet. org)。 只 有 在 -H 选 
项 中 可 以 使 用 通配符 。 

5) 交互 模式 

如 果 启 动 ettercap 的 时 候 没 有 指定 -N 选项 ,那么 就 自动 选取 了 交互 模式 。 如 果 在 某 些 
情况 下 不 知道 可 以 做 什么 ,只 要 输入 H 就 可 以 弹出 帮助 画面 ,可 以 看 到 可 执行 命令 的 消息 
列表 。 

6) 脱 机 工作 

如 果 想 要 分 析 由 tepdump 或 ethereal 保存 的 libpcap 格式 文件 ,可 以 使 用 Script 插件 。 
可 以 用 它 来 重 构 连接 列表 ,进行 口令 收集 工作 或 被 动 OS 指纹 收集 。 要 实现 这 些 只 要 指定 
-T 选项 ,然后 以 与 收集 网 络 数 据 同样 的 方式 使 用 ettercap。 为 了 保存 tcpdump 文件 以 便 进 
行进 一 步 的 分 析 , 可 使 用 -Y 选项 。 

网 络 监 控 技术 的 技术 实际 是 网 络 数 据 的 获取 技术 和 网 络 数据 的 分 析 技 术 相 结合 的 产 
物 ,网 络 监控 技术 所 采用 的 网 络 数 据 获取 技术 就 是 网 络 嗅 探 技 术 (sniffering) ,该 方式 采用 
监听 方式 获取 网 上 通信 的 数据 包 , 因 为 采用 网 络 嗅 探 技 术 的 网 络 监控 设备 是 并 接 在 网 络 的 
通信 线路 上 的 ,因此 它 的 存在 不 会 造成 对 于 网 络 运行 状况 的 影响 。 

如 上 所 述 ,传统 的 网 络 嗅 探 技术 是 利用 以 太 网 络 的 广播 方式 来 实现 的 。 它 常常 是 黑客 
手中 的 攻击 武器 ,因此 许多 人 针对 其 工作 方式 对 其 进行 监测 和 杜绝 。 但 作为 网 络 监控 而 言 ， 
我 们 是 利用 网 络 嗅 探 的 方式 获取 网 络 中 的 通信 数据 从 而 实现 对 于 网 络 运行 状况 的 分 析 、 管 
理 。 因 此 应 该 充分 考虑 目前 的 网 络 环境 发 挥 网 络 嗅 探 技 术 在 网 络 安全 维护 中 的 作用 。 上 述 
的 交换 环境 下 的 网 络 嗅 探 工具 就 是 一 个 好 的 网 络 管理 工具 软件 ,黑客 手中 的 利器 在 网 络 管 
理 员 手中 正确 使 用 时 ,就 会 发 挥 出 完全 不 同 的 巨大 作用 。 


9.3.4 Snarp 


Snarp 是 一 个 运行 在 Windows NT 上 的 交换 网 嗅 探 器 ,用 ARP poison 攻击 来 延迟 两 个 
主机 之 间 的 流量 ,还 允许 在 交换 网 络 中 对 数据 进行 嗅 探 。Snarp 的 运行 需要 LibnetNT 
(Windows 系统 中 的 Libnet 库 ) 和 Winpcap 的 支持 。 
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- 什么 是 网 络 监听 ? 

. 网络 嗅 探 监 听 的 原理 是 什么 ? 

无 线 局 域 网 嗅 探 技术 原理 是 什么 ? 

简 述 局 域 网 网 络 监听 的 防范 措施 。 

简 述 无 线 局 域 网 网 络 监听 的 防范 措施 。 

. 典型 咱 探 监听 工具 Tepdump 是 如 何 使 用 的 ? 


on R0 t — 
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端口 扫描 技术 和 漏洞 扫描 技术 是 一 类 重要 的 网 络 安全 技术 。 扫 描 技 术 和 防火 墙 \, 人 侵 
检测 系统 互相 配合 ,能够 有 效 提 高 网 络 的 安全 性 。 通 过 对 网 络 的 扫描 ,网 络 管理 员 能 了 解 网 
络 的 安全 设置 和 运行 的 应 用 服务 ,及 时 发 现 安全 漏洞 ,客观 评估 网 络 风险 等 级 。 网 络 管理 员 
能 根据 扫描 的 结果 更 正 网 络 安全 漏洞 和 系统 中 的 错误 设置 ,在 黑客 攻击 前 进行 防范 。 如 果 
说 防火 墙 和 网 络 监视 系统 是 被 动 的 防御 手段 ,那么 安全 扫描 就 是 一 种 主动 的 防范 措施 ,能 有 
效 避 免 黑客 攻击 行为 ,做 到 防 患 于 未 然 。 


10.1 端口 扫描 技术 


一 个 端口 就 是 一 个 潜在 的 通信 通道 ,也 就 是 一 个 人 侵 通道 。 对 目标 计算 机 进行 端口 扫 
描 , 能 得 到 许多 有 用 的 信息 。 通 过 端口 扫描 ,可 以 得 到 许多 有 用 的 信息 ,从 而 发 现 系统 的 安 
全 漏洞 。 它 使 系统 用 户 了 解 系统 目前 向 外 界 提 供 了 哪些 服务 ,从 而 为 系统 用 户 管理 网 络 提 
供 了 一 种 手段 。 

端口 扫描 技术 的 原理 : 端口 扫描 向 目标 主机 的 TCP/IP 服务 端口 发 送 探测 数据 包 , 并 
记录 目标 主机 的 响应 。 通 过 分 析 响 应 来 判断 服务 端口 是 打开 还 是 关闭 ,就 可 以 得 知 端口 提 
供 的 服务 或 信息 。 端 口 扫描 也 可 以 通过 捕获 本 地 主机 或 服务 器 的 流入 流出 TP 数据 包 来 监 
视 本 地 主机 的 运行 情况 , 它 仅 能 对 接收 到 的 数据 进行 分 析 , 帮 助 用 户 发 现 目标 主机 的 某 些 内 
在 的 弱点 ,而 不 会 提供 进入 一 个 系统 的 详细 步 又 。 


10.1.1 TCP connect() 扫 描 


扫描 主机 通过 TCP/IP 协议 的 三 次 握手 与 目标 主机 的 指定 端口 建立 一 次 完整 的 连接 。 
连接 由 系统 调用 connect 开始 。 如 果 端 口 开放 , 则 连接 将 建立 成 功 ;和 否则 , 若 返回 一 1 则 表示 
端口 关闭 。 建 立 连接 成 功 : 响应 扫描 主机 的 SYN/ACK 连接 请 求 , 这 一 响应 表明 目标 端口 
处 于 监听 (打开 ) 的 状态 。 如 果 目 标 端口 处 于 关闭 状态 , 则 目标 主机 会 向 扫描 主机 发 送 RST 
的 响应 。 

优点 : 系统 中 的 任何 用 户 都 有 权利 使 用 这 个 调用 ;如 果 对 每 个 目标 端口 以 线性 的 方式 
扫描 ,将 会 花费 相当 长 的 时 间 ,但 如 果 同 时 打开 多 个 套 接 字 ,就 能 加 速 扫描 。 

缺点 : 很 容易 被 发 现 ,目标 计算 机 的 logs 文件 会 显示 一 连 串 连接 和 连接 出 错 的 消息 ,并 
且 能 很 快 地 将 它 关 闭 。 


10.1.2 半 连 接 扫描 


车 端口 扫描 没有 完成 一 个 完整 的 TCP 连接 ,在 扫描 主机 和 目标 主机 的 一 指定 端口 建立 
连接 时 候 只 完成 了 前 两 次 握手 ,在 第 三 步 时 ,扫描 主机 中 断 了 本 次 连接 ,使 连接 没有 完全 建 
立 起 来 ,这 样 的 端口 扫描 称 为 半 连 接 扫 描 , 也 称 为 间接 扫描 。 现 有 的 半 连 接 扫 描 有 TCP 
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SYN 扫描 和 IP ID 头 dumb 扫描 等 。 

SYN 扫描 的 优点 在 于 即使 日 志 中 对 扫描 有 所 记录 ,但 是 尝试 进行 连接 的 记录 也 要 比 全 
扫描 少 得 多 。 缺 点 是 在 大 部 分 操作 系统 下 ,发 送 主 机 需要 构造 适用 于 这 种 扫描 的 IP 包 , 通 
常情 况 下 ,构造 SYN 数据 包 需 要 超级 用 户 或 者 授权 用 户 访问 专门 的 系统 调用 。 

优点 : 不 会 在 目标 计算 机 上 留 下 记录 。 

缺点 : 扫描 程序 必须 要 有 root 权限 才能 建立 自己 的 SYN 数据 包 。 


10.1.3 TCP FIN 扫描 


在 TCP 报 文 结构 中 ,FIN 段 负责 表示 发 送 端 已 经 没有 数据 要 传输 了 ,希望 释放 连接 . 
我 们 发 送 一 个 FIN=1 的 报 文 到 一 个 关闭 的 端口 时 ,该 报 文 会 被 丢掉 ,并 返回 一 个 RST 报 
文 。 但 是 , 当 FIN 报 文 到 一 个 活动 的 端口 时 ,该 报 文 只 是 被 简单 的 丢掉 ,而 不 回应 任何 
信息 。 

优点 : FIN 数据 包 可 以 不 惹 任何 麻烦 的 通过 。 这 种 扫描 方法 的 好 处 就 是 完全 不 建立 
TCP 连接 ,从 而 大 大 减少 了 被 目标 主机 记录 下 来 的 可 能 性 ,安全 性 较 高 。 

缺点 : 这 种 方法 和 系统 的 实现 有 一 定 的 关系 ,有 些 系统 不 论 是 打开 的 或 关闭 的 端口 对 
FIN 数据 包 都 要 给 以 回复 ,这 种 情况 下 该 方法 就 不 实用 了 。 


10.2 漏洞 扫描 技术 


10.2.1 漏洞 扫描 概述 


1. 漏洞 概念 

漏洞 源 自 vulnerability( 脆 弱 性 )。 一 般 认 为 ,漏洞 是 指 硬件 .软件 或 策略 上 存在 的 安全 
缺陷 ,从 而 使 得 攻击 者 能 够 在 未 授权 的 情况 下 访问 ,控制 系统 。 

对 一 个 信息 系统 来 说 , 它 的 安全 性 不 在 于 它 是 否 采 用 了 最 新 的 加 密 算法 或 最 先进 的 设 
备 , 而 是 由 系统 本 身 最 薄弱 之 处 , 即 漏洞 所 决定 的 。 只 要 这 个 漏洞 被 发 现 , 系 统 就 有 可 能 成 
为 网 络 攻击 的 牺牲 品 。 

2. 漏洞 的 发 现 

一 个 漏洞 并 不 是 自己 突然 出 现 的 ,必须 有 人 发 现 它 。 这 个 工作 主要 是 由 三 个 组 织 之 一 
来 完成 :黑客 .破译 者 、 安 全 服务 商 组 织 。 每 当 有 新 的 漏洞 出 现 , 黑 客 和 安全 服务 商 组 织 的 成 
员 通 常会 警告 安全 组 织 机 构 ;破译 者 也 许 不 会 警告 任何 官方 组 织 ,只 是 在 组 织 内 部 发 布 消 
息 。 根 据 信息 发 布 的 方式 ,漏洞 将 会 以 不 同 的 方式 呈现 在 公众 面前 。 通 常 收集 安全 信息 的 
途径 包括 新 闻 组 、 邮 件 列表 、Web 站 点 .FTP 文档 。 网 络 管理 者 的 部 分 工作 就 是 关心 信息 安 
全 相关 新 闻 ,了解 信 息 安全 的 动态 。 管 理 者 需要 制定 一 个 收集 。 分 析 以 及 抽取 信息 的 策略 ， 
以 便 获取 有 用 的 信息 。 

3. 漏洞 对 系统 的 威胁 

漏洞 对 系统 的 威胁 体现 在 恶意 攻击 行为 对 系统 的 威胁 ,因为 只 有 利用 硬件 ,软件 和 策略 
上 最 薄弱 的 环节 ,恶意 攻击 者 才 可 以 得 手 。 目 前 ,Internet 上 已 有 3 万 多 个 黑客 站 点 ,而 且 
黑客 技术 不 断 创新 ,基本 的 攻击 手法 已 多 达 800 多 种 。 
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目前 我 国 95 260] 5j Internet 相连 的 网 络 管理 中 心 都 遭 到 过 境内 外 攻击 者 的 攻击 或 侵 
入 ,其 中 银行 .金融 和 证 券 机 构 是 黑客 攻击 的 重点 。 国 内 乃至 全 世界 的 网 络 安全 形势 非常 不 
容 乐 观 。 漏 洞 可 能 影响 一 个 单位 或 公司 的 生存 。 

4. 漏洞 扫描 的 必要 性 

(1) 帮助 网 管 人 员 了 解 网 络 安全 状况 。 

(2) 对 资产 进行 风险 评估 的 依据 。 

(3) 安全 配置 的 第 一 步 。 

(4) 向 领导 上 报 数据 依据 。 


10.2.2. 漏洞 扫描 技术 的 原理 


漏洞 扫描 主要 通过 以 下 两 种 方法 来 检查 目标 主机 是 否 存在 漏洞 : 在 端口 扫描 后 得 知 目 
标 主 机 开启 的 端口 以 及 端口 上 的 网 络 服务 ,将 这 些 相 关 信 息 与 网 络 漏洞 扫描 系统 提供 的 漏 
洞 库 进 行 匹 配 ,查看 是 否 有 满足 匹配 条 件 的 漏洞 存在 :通过 模拟 黑客 的 攻击 手法 ,对 目标 主 
机 系统 进行 攻击 性 的 安全 漏洞 扫描 ,如 测试 弱势 口令 等 。 若 模拟 攻击 成 功 , 则 表明 目标 主机 
系统 存在 安全 漏洞 。 

漏洞 扫描 大 体 包 括 CGI 漏洞 扫描 、POP3 漏洞 扫描 、FTP 漏洞 扫描 、SSH 漏洞 扫描 、 
HTTP 漏洞 扫描 等 。 这 些 漏洞 扫描 是 基于 漏洞 库 , 将 扫描 结果 与 漏洞 库 相关 数据 匹配 比较 
得 到 漏洞 信息 ;漏洞 扫描 还 包括 没有 相应 漏洞 库 的 各 种 扫描 ,如 Unicode 遍历 目录 漏洞 探 
ill FTP 弱势 密码 探测 .OPENRelay 邮件 转发 漏洞 探测 等 ,这 些 扫描 通过 使 用 插件 (功能 模 
块 技术 ) 进 行 模拟 攻击 ,测试 出 目标 主机 的 漏洞 信息 。 


10.2.3 漏洞 扫描 技术 的 分 类 和 实现 方法 


基于 网 络 系统 漏洞 库 ,漏洞 扫描 大 体 包括 CGI 漏洞 扫描 、POP3 漏洞 扫描 、FTP 漏洞 扫 
Tii. SSH 漏洞 扫描 ,HTTP 漏洞 扫描 等 。 这 些 漏 洞 扫 描 是 基于 漏洞 库 , 将 扫描 结果 与 漏洞 库 
相关 数据 匹配 比较 得 到 漏洞 信息 ;漏洞 扫描 还 包括 没有 相应 漏洞 库 的 各 种 扫描 ,比如 
Unicode 遍历 目录 漏洞 探测 .FTP 弱势 密码 探测 .OPENRelay 邮件 转发 漏洞 探测 等 ,这 些 扫 
描 通 过 使 用 插件 (功能 模块 技术 ) 进 行 模拟 攻击 ,测试 出 目标 主机 的 漏洞 信息 。 下 面 就 这 两 
种 扫描 的 实现 方法 进行 讨论 : 

1. 漏洞 库 的 匹配 方法 

基于 网 络 系统 漏洞 库 的 漏洞 扫描 的 关键 部 分 就 是 它 所 使 用 的 漏洞 库 。 通 过 采用 基于 规 
则 的 匹配 技术 , 即 根据 安全 专家 对 网 络 系统 安全 漏洞 .黑客 攻击 案例 的 分 析 和 系统 管理 员 对 
网 络 系统 安全 配置 的 实际 经 验 , 可 以 形成 一 套 标准 的 网 络 系统 漏洞 库 ,然后 再 在 此 基础 之 上 
构成 相应 的 匹配 规则 ,由 扫描 程序 自动 的 进行 漏洞 扫描 的 工作 。 这 样 ,漏洞 库 信息 的 完整 性 
和 有 效 性 决定 了 漏洞 扫描 系统 的 性 能 ,漏洞 库 的 修订 和 更 新 的 性 能 也 会 影响 漏洞 扫描 系统 
运行 的 时 间 。 因 此 ,漏洞 库 的 编制 不 仅 要 对 每 个 存在 安全 隐患 的 网 络 服务 建立 对 应 的 漏洞 
库 文件 ,而 且 应 当 能 满足 前 面 所 提出 的 性 能 要 求 。 

2. 插件 (功能 模块 技术 ) 技 术 

插件 是 由 脚本 语言 编写 的 子 程序 ,扫描 程序 可 以 通过 调用 它 来 执行 漏洞 扫描 ,检测 出 系 
统 中 存在 的 一 个 或 多 个 漏洞 。 添 加 新 的 插件 就 可 以 使 漏洞 扫描 软件 增加 新 的 功能 ,扫描 出 


293 


网 络 安全 技术 


更 多 的 漏洞 。 插 件 编写 规范 化 后 ,甚至 用 户 自己 都 可 以 用 PERL、C 或 自行 设计 的 脚本 语言 
编写 的 插件 来 扩充 漏洞 扫描 软件 的 功能 。 这 种 技术 使 漏洞 扫描 软件 的 升级 维护 变 得 相对 简 
单 ,而 专用 脚本 语言 的 使 用 也 简化 了 编写 新 插件 的 编程 工作 ,使 漏洞 扫描 软件 具有 强 的 扩 
展 性 。 


10.3 ”典型 的 端口 扫描 与 漏洞 扫描 产品 简介 


10.3.1 Nmap 端口 扫描 工具 


1. Nmap 端口 扫描 器 简介 

Nmap 是 一 款 免 费 的 开源 工具 ,英文 名 称 是 Network Mapper, 是 端口 扫描 器 中 的 一 个 
佼佼 者 ,在 电影 (黑客 帝国 》 中 曾 出 现 过 它 的 身影 。 

Nmap 使 用 IP 数据 包 来 分 析 在 网 络 中 有 哪些 主机 是 可 用 的 ,以 及 这 些 主机 正在 提供 什 
么 服务 ,以 及 运行 的 操作 系统 是 什么 ,使 用 了 哪些 类 型 的 过 滤器 或 防火 墙 等 。 

它 最 初 是 在 UNIX 平台 上 的 一 个 工具 ,后 来 被 引入 到 其 他 操作 系统 中 。 目 前 的 稳定 版 
本 是 4.53 版 ,支持 Windows NT/Me/2000/XP/Vista 操作 系统 ,官方 下 载 地 址 : http:// 
nmap. org/download. html, 

2. 安装 运行 Nmap 

每 一 个 主要 的 “稳定 版 "Nmap 一 般 都 提供 两 种 格式 的 下 载 ,一 种 是 . exe 格式 的 
Windows 安装 包 , 该 安装 格式 简单 易 懂 ,只 需 运 行 安装 包 文件 ,然后 按照 安装 向 导 要 求 选 择 
安装 路 径 .选择 安装 模块 和 安装 WinPcap 就 可 以 。 

另 一 种 是 . zip 格式 的 压缩 包 方式 , 它 不 包含 图 形 界面 ,因此 用 户 需要 从 一 个 DOS 命令 
行 窗 口中 运行 nmap. exe。 或 者 也 可 以 下 载 和 安装 一 个 免费 的 Cygwin 模拟 UNIX 环境 
软件 。 

对 于 多 数 普通 用 户 来 说 ,可 能 更 喜欢 图 形 界面 Zenmap ,那么 在 安装 的 时 候 一 定 要 记得 
勾 选 安装 Zenmap( 见 图 10-1) ,安全 完成 后 会 在 桌面 和 开始 菜单 上 会 产生 新 的 Zenmap 快捷 
方式 ,运行 它 就 可 以 了 。 


Choose Components. c 
Choose which features of Nmap you want to instal. © 


Check the components you want to install and uncheck the components you dont want to 
install. Chick Next to continue, 


安全 中 国 VIP 会 员 


ERE vipianan.- 


Wit Install System v2.54 


图 10-1 选择 安装 图 形 界面 Zenmap 
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当然 对 于 一 些 高 手 们 来 说 ,可 能 会 使 用 命令 行 界面 来 运行 Nmap。 下 面 简单 介绍 一 下 
安装 过 程 。 

CD 首选 确保 用 户 的 登录 账号 具有 管理 员 权限 ( 即 你 的 登录 账号 是 administrators 组 的 
成 员 ) 

(2) 打开 一 个 命令 行 DOS 窗口 。 在 Windows XP 中 ,选择 “开始 ”一 “运行 ”, 在 打开 的 
对 话 框 中 输入 cmd, 然 后 回 车 。 

(3) 改变 当前 目录 为 Nmap 的 目录 ,如 cd c:/nmap。 

(4) 执行 nmap. exe, 会 出 现 如 图 10-2 所 示 页 面 。 


"SERIE VIP 会 员 


VIP.anqn.com 


图 10-2 从 Windows 命令 行 中 执行 Nmap 


如 果 经 常 运行 Nmap 的 话 ,你 可 以 增加 Nmap 目录 (在 本 文中 是 C:/nmap) 到 你 的 命令 
执行 路 径 中 。 


右 击 “ 我 的 电脑 ”选择 “属性 ”, 在 系统 属性 窗口 中 选择 “高 级 ”选项 卡 , 单 击 “ 环 境 变 量 ” 
按钮 ,从 系统 变量 中 选择 Path ,然后 单 击 “ 编 辑 ”" 按 钮 ,然后 加 入 一 个 分 号 和 “C:/nmap” 路 
径 , 单 击 “ 确 定 ” 后 你 就 可 以 直接 从 DOS 窗口 的 任意 位 置 执行 nmap 命令 。 

3. 实例 讲解 使 用 Nmap 提高 安全 性 

安装 完 Nmap 后 ,我 们 已 经 为 扫描 我 们 的 网 络 做 好 了 准备 ,下 面 进行 实际 操作 。 

CD 设 定 扫描 对 象 .扫描 类 型 

从 桌面 上 单 击 Zenmap 快捷 方式 后 ,会 启动 Nmap 的 图 形 界面 ,在 Target 窗口 中 输入 
你 要 扫描 的 主机 的 主机 名 或 IP 地 址 。 

举 个 例子 来 说 ,如 果 需 要 扫描 192. 168. 1. 1 到 192. 168. 1. 8 范围 内 的 所 有 主机 ,需要 输入 :; 
192. 168. 1. 1-8。 还 可 以 使 用 通配符 “* ”来 实现 一 个 地 址 范围 内 的 扫描 ,例如 192. 168. 1. * 
(等 同 于 192. 168. 1. 1-255)。 

值得 注意 的 是 ,由 于 很 多 企业 网 络 中 会 针对 扫描 行为 进行 捕捉 并 禁止 ,不 建议 对 别人 的 
计算 机 进行 扫描 。 

从 Profile 后 的 下 拉 列 表 中 你 可 以 选择 不 同 的 配置 文件 ,其 中 包括 操作 系统 探测 、 快 速 
扫描 、 服 务 扫 描 、 加 强 扫 描 等 选项 。 

由 于 Windows 版 的 Nmap 默认 不 支持 对 本 机 进行 扫描 ,因此 如 果 你 要 对 本 机 扫描 的 
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话 , 需 要 通过 使 用 不 包含 Ping 命令 的 TCP 连接 扫描 ,因为 它 不 是 使 用 发 送 raw 数据 包 的 方 
式 , 而 是 使 用 了 高 级 socket API. 实 现 方式 是 在 扫描 命令 中 增加 参数 “sT-P0”。 

设置 完 这 两 项 后 , 单 击 扫 描 按 钮 就 可 以 开始 扫描 了 。 

(2) 借助 搜索 引擎 分 析 扫 描 结果 

单 击 “ 扫 描 ” 按 钮 后 ,在 下 面 的 扫描 结果 显示 窗口 中 我 们 能 看 到 详细 的 扫描 结果 ( 见 
图 10-3) .其 中 在 Nmap Output 标签 中 的 信息 最 为 详细 。 


ET [ic] 
San lod pfe teb | 
Dn d SR | 2 回 
New Scan  CommandWeard Save San Open Scan. Report à bug Hep 
Intense Scan on x | 
Target: E wj Profle: [interse on 了 | on 
Command: |nmap -T Aggressve -Avi 
Homs Sees | PortsfHons Nmap Output | ro etos | scan Des | 
Scarting Haap 4.53 ( REEe:ZZinaecwke org ) at 2008-02-23 — 4| 
os « | Hot a| 02:13 wee t7 Scan ac 02:13 
一 Scanning 23 i£ ports] 
Completed pun ern 一 " 13, 0.19s elapsed (1 fpe hosts) 
solution of 1 host. at 02:13 
Coepleted Parallel DNS reseluriem ef 1 host. et 01:13, 
0.00s elap 4 
Initiating Scan at 02:19 


covered open pert 2$/tc» m TIS. 
Discovered open port 30/cfr on VA 
cove 


deinen try FI) a 
at 02:13 


ei 
S E REVI 会 员 


图 10-3 ”扫描 结 


通过 扫描 结果 ,可 以 看 到 在 我 们 的 计算 机 上 开放 了 哪些 端口 ,启用 了 哪些 服务 。 如 果 看 
到 一 些 显示 为 “未 知 (Unknown) ?或 其 他 看 上 去 可 疑 的 服务 ,那么 可 以 记 下 它 的 端口 号 , 然 
后 通过 Google 或 百度 等 搜索 引擎 进行 搜索 ,看 看 这 个 端口 具体 是 干什么 ,例如 在 搜索 引擎 
中 输入 端口 27374 或 port 27374 等 。 

对 于 已 经 开放 的 端口 和 服务 ,我 们 还 可 以 使 用 搜索 引擎 来 搜索 它 的 安全 漏洞 ,从 而 进行 
相应 的 修补 。 

(3) 停止 服务 关闭 开放 端口 

在 用 户 的 计算 机 上 有 些 开 放 的 端口 可 能 是 应 用 程序 所 需要 的 ,例如 刚才 提 到 的 80 端 
口 , 因 为 计算 机 需要 对 外 提供 Web 服务 器 功能 。 但 是 如 果 有 不 必 开 放 的 端口 ,例如 有 的 服 
务 是 以 前 有 用 而 现在 已 经 不 用 的 , 则 应 停止 这 些 服 务 ,从 而 关闭 相应 的 开放 端口 ,减少 安全 
隐患 。 

从 控制 面板 的 管理 工具 中 ,打开 “服务 "管理 窗口 ,找到 你 希望 关闭 的 服务 ,将 其 启动 类 
型 改 为 “禁用 ”, 然 后 停止 这 个 服务 。 

值得 注意 的 是 ， wi NEU UN 的 系统 没有 不 良 影响 ,不 
会 影响 系统 的 正常 运 
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10.3.2 ScanPort 端口 扫描 工具 


ScanPort 扫描 器 通过 选用 远程 TCP/IP 不 同 的 端口 的 服务 ,并 记录 目标 给 予 的 回答 ,可 
以 搜集 到 很 多 关于 目标 主机 的 各 种 有 用 的 信息 ,例如 远程 系统 是 否 支 持 匿名 登录 、 是 否 存在 
可 写 的 FTP 目录 ,是 否 开 放 TELNET 服务 和 HTTPD 服务 等 。 

ScanPort 是 一 个 小 巧 的 网 络 端口 扫描 工具 ,绿色 软件 ,使 用 方法 简单 。 


10.3.3 ” 安 铁 诺 防 病毒 软件 漏洞 扫描 工具 


安 铁 诺 防 病毒 软件 漏洞 扫描 工具 的 主要 作用 是 检测 系统 是 否 存在 系统 漏洞 ,并 给 出 详 
细 漏 洞 报告 ,引导 用 户 到 相关 站 点 下 载 最 新 系统 漏洞 补丁 程序 确保 用 户 的 系统 处 在 最 安全 
的 状态 下 。 本 扫描 工具 可 以 扫描 Windows 2000 以 及 Windows XP 系统 漏洞 。 


10.3.4 NeWT Security Scanner v1. 0 网 络 漏 洞 扫描 工具 


Tenable NeWT Security Scanner Tenable 为 Windows 平台 提供 了 基于 Nessus 技术 的 
攻击 扫描 功能 。NeWT 表示 Nessus Windows Technology, 它 是 一 个 独立 的 攻击 扫描 器 。 
它 能 为 系统 安全 人 员 用 于 安全 控制 ,管理 和 重 查 。 有 丰富 的 扫描 进度 条 ,新 增 攻击 报告 网 
络 目标 地 址 短 .插件 管理 .差异 化 扫描 报告 等 功能 。 


思考 题 


.端口 扫描 技术 的 原理 是 什么 ? 

. 试 比较 四 种 端口 扫描 技术 的 优 缺 点 。 
. 简 述 漏洞 扫描 的 作用 。 

. 漏洞 扫描 技术 的 原理 是 什么 ? 


wD 
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21 世纪 是 网 络 和 知识 经 济 的 时 代 , 大 量 的 . com 公司 的 建立 和 大 量 的 传统 企业 的 e 化 ， 
互联 网 已 越 来 越 广泛 的 引用 于 社会 的 各 个 方面 。 计 算 机 网 络 安全 已 经 逐渐 成 为 一 个 人 们 关 
注 的 问题 。 

随 着 计算 机 技术 的 广泛 发 展 和 网 络 技术 的 日 益 普及 ,对 计算 机 的 依赖 性 也 越 来 越 高 。 
但 是 计算 机 病毒 的 疫情 ,尤其 是 病毒 通过 网 络 的 迅速 蔓延 ,给 计算 机 系统 带 来 了 极 大 的 危 
害 。 在 Internet 的 普及 和 发 展 的 同时 ,计算 机 病毒 在 破坏 能 力 、 传 播 速度 .传播 途径 .传播 方 
法 上 也 有 很 大 的 变化 和 发 展 ,病毒 全 球 化 的 现象 日 益 明显 ,新 病毒 的 产生 频率 传播 速度 明 
显 加 快 ,破坏 力也 越 来 越 强 。 这 些 主 要 依靠 电子 邮件 和 网 络 传 播 的 恶意 病毒 已 给 网 络 的 安 
全 构成 严重 威胁 。 

一 个 完善 的 防 病毒 系统 应 该 立体 的 ,多 层次 的 防御 体系 ,并 要 求 针 对 特定 的 网 络 结构 、 
应 用 特点 来 制定 并 实施 可 靠 的 防 病 毒 方案 。 


11.1 网 络 病毒 基础 


11.1.1 计算 机 病毒 的 概念 


“计算 机 病毒 "最 早 是 由 美国 计算 机 病毒 研究 专家 Fred Cohen 博士 正式 提出 的 ,“ 病 毒 ” 
一 词 来 源 于 生物 学 ,因为 计算 机 病毒 与 生物 病毒 在 很 多 方面 有 着 相似 之 处 。 

Fred Cohen 博士 对 计算 机 病毒 的 定义 是 :“ 病 毒 是 一 种 靠 修 改 其 他 程序 来 插入 或 进行 
自身 拷贝 ,从 而 感染 其 他 程序 的 一 段 程序 .” 这 一 定义 作为 标准 已 被 普遍 的 接受 。 

在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 的 定义 为 :“ 计 算 机 病毒 是 指 编 
制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 数据 ,影响 计算 机 使 用 并 且 能 够 自我 复制 
的 一 组 计算 机 指令 或 者 程序 代码 n 
11.1.2 计算 机 病毒 的 特征 

1. 传染 性 

病毒 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 。 病 毒 一 旦 进入 计算 
机 并 得 以 执行 ,就 会 寻找 符合 感染 条 件 的 目标 ,将 其 感染 ,达到 自我 繁殖 的 目的 。 所谓“ 感 
染 ”, 就 是 病毒 将 自身 潜入 到 合法 程序 的 指令 序列 中 ,致使 执行 合法 程序 的 操作 会 引发 病毒 
程序 的 执行 或 以 病毒 程序 的 执行 取代 正常 程序 的 执行 。 因 此 ,只 要 一 台 计算 机 染 上 病毒 ,如 
不 及 时 处 理 , 那 么 病毒 会 在 这 台 机 子 上 迅速 扩散 ,其 中 的 大 量 文件 (一 般 是 可 执行 文件 ) 就 会 
被 感染 。 而 被 感染 的 文件 又 成 了 新 的 传染 源 ,再 与 其 他 机 子 进 行 数据 交换 或 通过 网 络 接触 ， 
病毒 会 继续 传染 。 病 毒 通 过 各 种 可 能 的 渠道 ,如 可 移动 存储 介质 (如 软盘 ) .计算 机 网 络 去 传 
染 其 他 计算 机 。 往 往 曾 在 一 台 染 毒 的 计算 机 上 用 过 的 软盘 已 感染 上 了 病毒 ,在 这 台 机 器 联 
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网 的 其 他 计算 机 也 许 也 被 染 上 了 病毒 了 。 传 染 性 是 病毒 的 基本 特征 。 

2. 隐蔽 性 

病毒 一 般 是 具有 很 高 编程 技巧 的 ,短小 精 悍 的 一 段 代 码 , 躲 在 合法 程序 当中 。 如 果 不 经 
过 代码 分 析 ,病毒 程序 与 正常 程序 是 不 容易 区 别 开 来 的 ,这 是 病毒 程序 的 隐蔽 性 。 在 没有 防 
护 措施 的 情况 下 ,病毒 程序 取得 系统 控制 权 后 ,可 以 在 很 短 的 时 间 里 传染 大 量 其 他 程序 ,而 
且 计 算 机 系统 通常 仍 能 正常 运行 ,用户 不 会 感到 任何 异常 ,好 像 在 计算 机 内 不 曾 发 生 过 什 
么 。 这 就 是 病毒 传染 的 隐蔽 性 。 

3. 潜伏 性 

病毒 进入 系统 之 后 一 般 不 会 马上 发 作 , 可 以 在 几 周 或 者 几 个 月 甚至 几 年 内 隐蔽 在 合法 
程序 中 ,默默 地 进行 传染 扩散 而 不 被 人 发 现 ,潜伏 性 越 好 ,在 系统 中 ,存在 时 间 就 会 越 长 , 传 
染 范 围 也 就 会 越 大 。 病 毒 的 内 部 有 一 种 触发 机 制 ,不 满足 触发 条 件 时 ,病毒 除了 传染 外 不 做 
什么 破坏 。 一 旦 触发 条 件 得 到 满足 ,病毒 便 开 始 表现 ,有 的 只 是 在 屏幕 上 显示 信息 图 形 或 特 
殊 标 识 , 有 的 则 执行 破坏 系统 的 操作 ,如 格式 化 磁盘 、 删 除 文件 ,加密 数据 .封锁 键盘 毁坏 系 
统 等 。 和 触发 条 件 可 能 是 预定 时 间或 日 期 特定 数据 出 现 、 特 定 事件 发 生 等 。 

4. 多 态 性 

病毒 试图 在 每 一 次 感染 时 改变 它 的 形态 ,使 对 它 的 检测 变 得 更 困难 。 一 个 多 态 病毒 还 
是 原来 的 病毒 ,但 不 能 通过 扫描 特征 字符 串 来 发 现 。 病 毒 代码 的 主要 部 分 相同 ,但 表达 方式 
发 生 了 变化 ,也 就 是 同一 程序 由 不 同 的 字 节 序列 表示 。 

5. 破坏 性 

病毒 一 旦 被 触发 而 发 作 就 会 造成 系统 或 数据 的 损伤 甚至 毁灭 。 病 毒 都 是 可 执行 程序 ， 
而 且 又 必然 要 运行 ,因此 所 有 的 病毒 都 会 降低 计算 机 系统 的 工作 效率 ,占用 系统 资源 ,其 侵 
占 程 度 取决 于 病毒 程序 自身 。 病 毒 的 破坏 程度 主要 取决 于 病毒 设计 者 的 目的 ,如 果 病 毒 设 
计 者 的 目的 底 在 于 彻底 破坏 系统 及 其 数据 ,那么 这 种 病毒 对 于 计算 机 系统 进行 攻击 造成 的 
后 果 是 难以 想象 的 , 它 可 以 毁 掉 系 统 的 部 分 或 全 部 数据 并 使 之 无 法 恢复 ,虽然 不 是 所 有 的 病 
毒 都 对 系统 产生 及 其 恶劣 的 破坏 作用 ,但 有 时 几 种 本 没有 多 大 破坏 作用 的 病毒 交叉 感染 ,也 
会 导致 系统 崩溃 等 重大 恶果 。 


11.1.3 计算 机 病毒 的 结构 


计算 机 病毒 主要 巾 潜伏 机 制 ,传染 机 制 和 表现 机 制 构成 。 在 程序 结构 上 由 3 种 机 制 的 
模块 组 成 ( 见 图 11-1) 。 


若 其 程序 被 定义 为 计算 机 病毒 ,只 有 传染 机 制 是 强制 ei 
性 的 ,潜伏 机 制 和 表现 机 制 是 非 强制 性 的 。 MM 可 

1. BRUM " m 

潜伏 机 制 的 功能 包括 初始 化 ,隐蔽 和 捕 提 ,潜伏 机 制 模 so 
块 随 着 感染 的 宿主 程序 的 执行 进入 内 存 ,首先 ,初始 化 其 运 


行 环 境 , 使 病毒 相对 独立 于 宿主 程序 ,为 传染 机 制 做 好 准 ”图 11-1 计算 机 病毒 程序 结构 
备 ,然后 ,利用 各 种 可 能 的 隐藏 方式 ,躲避 各 种 检测 ,欺骗 系 

统 , 将 自己 隐蔽 起 来 。 最 后 ,不 停 地 捕捉 感染 目标 交 给 传染 机 制 , 不 停 地 捕 提 触发 条 件 交 给 
表现 机 制 。 
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2. 传染 机 制 

传染 机 制 的 功能 包括 判断 和 感染 。 传 染 机 制 先是 判断 候选 感染 目标 是 否 已 被 感染 , 感 
染 与 否 通 过 感染 标记 来 判断 ,感染 标记 是 计算 机 系统 可 以 识别 的 特定 字符 或 字符 串 。 一 旦 
发 现 作 为 候选 感染 目标 的 宿主 程序 中 没有 感染 标记 ,就 对 其 进行 感染 ,也 就 是 将 病毒 代码 和 
感染 标记 放 入 宿主 程序 之 中 ,早期 的 有 些 病 毒 是 重复 感染 型 的 , 它 不 做 感染 检查 ,也 没有 感 
染 标记 ,因此 这 种 病毒 可 以 再 次 感染 自身 。 

3. 表现 机 制 

表现 机 制 的 功能 包括 判断 和 表现 。 表 现 机 制 首先 对 触发 条 件 进行 判断 ,然后 根据 不 同 
的 条 件 决定 什么 时 候 表 现 ` 如 何 表现 。 表 现 内 容 多 种 多 样 ,然而 不 管 是 炫 炮 玩笑、 恶作剧 ， 
还 是 故意 破坏 ,或 轻 或 重 都 具有 破坏 性 。 表 现 机 制 反映 了 病毒 设计 者 的 意图 ,是 病毒 间 差异 
最 大 的 部 分 。 潜 伏 机 制 和 传染 机 制 是 为 表现 机 制服 务 的 。 


11.1.4 网 络 病毒 的 特征 与 传播 方式 


1. 网 络 病毒 的 特征 

CD 感染 速度 快 。 在 单机 环境 下 ,病毒 只 能 通过 软盘 从 一 台 计算 机 带 到 另 一 台 ,而 在 网 
络 中 则 可 以 通过 网 络 通信 机 制 进行 迅速 扩散 。 

(2) 扩散 面 广 。 由 于 病毒 在 网 络 中 扩散 非常 快 ,扩散 范围 很 大 ,不 但 能 迅速 传染 局 域 网 
内 所 有 计算 机 ,还 能 在 瞬间 通过 远程 工作 站 将 病毒 传播 到 千里 之 外 。 

G) 传播 的 形式 复杂 多 样 。 计 算 机 病毒 在 网 络 上 一 般 是 通过 “工作 站 一 服务 器 一 工作 
站 ”的 途径 进行 传播 的 ,但 传播 的 形式 复杂 多 样 。 

CD 难于 彻底 清除 。 单 机 上 的 计算 机 病毒 有 时 可 通过 删除 带 毒 文件 ,低级 格式 化 硬盘 
等 措施 将 病毒 彻底 清除 。 而 企业 网 络 中 ,只 要 有 一 台 工 作 站 未 能 消毒 干净 ,就 可 能 使 整个 网 
络 重新 被 病毒 感染 ,甚至 刚刚 完成 清除 工作 的 一 台 工作 站 就 有 可 能 被 网 上 另 一 台 带 毒 工作 
站 所 感染 。 

(5) 破坏 性 大 。 网 络 上 病毒 将 直接 影响 网 络 的 工作 , 轻 则 降低 速度 ,影响 工作 效率 , 重 
则 使 网 络 崩 溃 ,破坏 服务 器 信息 ,使 多 年 工作 毁 于 一 旦 。 

2. 网 络 病毒 传播 方式 

一 般 来 说 ,计算 机 网 络 的 基本 构成 包括 网 络 服务 器 和 网 络 节点 站 (包括 有 盘 工 作 站 ,无 
盘 工 作 站 和 远程 工作 站 )。 计 算 机 病毒 一 般 首先 通过 有 盘 工作 站 传播 到 软盘 和 硬盘 ,然后 进 
入 网 络 ,进一步 在 网 上 的 传播 。 具 体 来 说 ,其 传播 方式 有 如 下 几 种 : 

CD 病毒 直接 从 有 盘 站 复制 到 服务 器 中 。 

(2) 病毒 先 传染 工作 站 ,在 工作 站 内 存 驻 留 , 等 运行 网 络 盘 内 程序 时 再 传染 给 服务 器 。 

(3) 病毒 先 传染 工作 站 ,在 工作 站 内 存 驻 留 ,在 运行 时 直接 通过 映像 路 径 传染 到 服务 器 。 

(4) 如 果 远 程 工作 站 被 病毒 侵入 ,病毒 也 可 以 通过 通信 中 数据 交换 进入 网 络 服务 器 中 。 


11.2 病毒 检测 与 防范 技术 


11.2.1 病毒 检测 技术 


病毒 检测 技术 主要 有 下 列 五 种 方法 : 特征 码 检测 、 校 验 和 计算 、 行 为 检测 .启发 式 扫描 
以 及 虚拟 机 技术 。 


第 11 章 ”网络 病毒 防范 技术 


1. 特征 码 检 测 

这 是 当今 应 用 得 最 多 也 最 广 的 杀毒 检测 方式 ,通过 分 析 受 感染 文件 ,可 以 总 结 出 病毒 特 
征 、 记 录 所 得 病毒 的 特征 码 并 保存 在 病毒 库 中 。 这 些 特 征 码 通常 是 从 一 种 病毒 代码 中 提取 
的 连续 不 含 空格 的 字符 串 ,并 以 此 作为 此 类 病毒 的 特征 记录 。 

2. 校 验 和 计算 

根据 正常 文件 的 信息 (包括 文件 名 称 ` 大小. 时间、 日 期 及 内 容 ), 计 算 其 校 验 和 ,将 校 验 
和 写 和 人 文件 中 或 写 人 其 他 文件 中 保存 。 在 文件 使 用 过 程 中 定期 地 或 每 次 使 用 文件 前 ,检查 
文件 现 有 信息 算出 的 校 验 和 与 原来 保存 的 文件 校 验 和 是 否 一 致 ,可 以 发 现 文件 是 否 已 被 感 
染 。 校 验 和 法 既 能 发 现 已 知 病毒 又 能 发 现 未 知 病毒 ,但 是 它 不 能 识别 病毒 种 类 、 而 且 对 隐蔽 
性 的 病毒 无 效 。 另 外 ,病毒 也 并 非 是 文件 内 容 改 变 的 唯一 特征 ,所 以 校 验 和 检测 常常 误 报 ， 
而 且 此 法 会 影响 文件 的 运行 速度 。 

3. 行为 检测 

这 是 一 种 利用 病毒 的 特有 行为 特征 检测 病毒 的 方法 ,也 称 为 人 工 智 能 陷阱 。 通 过 对 病 
毒 多 年 的 观察 .研究 ,研究 者 发 现 病毒 的 一 些 行为 是 病毒 的 共同 行为 ,而 且 比 较 特殊 。 在 正 
常 程 序 中 ,这 些 行为 比较 罕见 。 当 程序 运行 时 ,监视 其 行为 ;如 果 发 现 了 特征 行为 , 则 立即 报 
警 或 阻塞 可 疑 程 序 。 用 于 检测 病毒 的 行为 特征 主要 有 以 下 几 点 : 盗用 截流 系统 中 断 、 修 改 
内 存 总 量 和 内 存 控制 块 , 对 可 执行 文件 做 写 和 操作、 引导 扇 区 或 执行 格式 化 磁盘 等 可 疑 动 
JE 病毒 程序 与 宿主 程序 切换 和 搜索 API PRO BE . 

4. 启发 式 扫描 

启发 式 扫描 源 于 人 工 智能 技术 ,是 基于 给 定 的 判断 规则 和 定义 的 扫描 技术 。 若 发 现 被 
扫描 程序 中 存在 可 疑 的 程序 功能 指令 , 则 做 出 存在 病毒 的 预警 或 判断 。 启 发 式 代 码 分 析 扫 
描 技 术 是 传统 的 特征 码 扫描 技术 的 改进 。 在 特征 码 扫描 技术 的 基础 上 ,利用 对 病毒 代码 的 
分 析 , 获 得 一 些 统计 的 ,静态 的 启发 知识 ,形成 一 种 静态 的 启发 式 扫 描 分 析 技 术 。 在 具体 实 
现 上 ,启发 式 扫描 技术 是 相当 复杂 的 。 通 常 这 类 病毒 检测 软件 要 能 够 识别 并 探测 许多 可 疑 
程序 代码 指令 序列 ,并 按照 安全 和 可 疑 的 等 级 进行 排序 .根据 病毒 可 能 使 用 和 具备 的 特点 而 
授 以 不 同 的 加 权 值 。 如 果 一 个 程序 的 加 权 值 的 总 和 超过 一 个 事先 定义 的 阔 值 ,那么 病毒 检 
测 程序 就 可 以 称 为 发 现 病毒 。 为 了 避免 “ 狼 来 了 ”的 误 报 行为 ,病毒 检测 程序 常 把 多 种 可 疑 
操作 同时 并 发 的 情况 定 为 发 现 病 毒 的 报警 标准 。 因 此 启发 式 扫描 技术 是 一 种 概率 方法 。 

5. 虚拟 机 技术 

虚拟 机 技术 是 动态 特征 码 扫描 技术 的 关键 ,在 与 多 态 病毒 进行 对 抗 中 发 挥 了 巨大 的 作 
用 。 虚 拟 机 是 一 种 软件 仿真 器 或 软件 分 析 器 ,通过 软件 虚拟 化 、 硬 件 虚拟 化 ,让 程序 在 一 个 
虚拟 /仿真 环境 中 和 运行。 实现 虚拟 技术 的 关键 在 于 软件 虚拟 化 和 硬件 虚拟 化 ,其 实 不 光 是 防 
病毒 领域 ,经 常 遇 到 的 虚拟 机 有 很 多 .如 GWBasic Java 虚拟 机 (Java Virtual Machine. 
JVM) 等 。 虚 拟 机 的 主要 作用 是 能 够 运行 一 定 规则 的 描述 语言 , 它 有 两 方面 的 含义 ,一 个 含 
义 是 运行 一 定 规则 的 描述 语言 的 机 器 并 不 一 定 是 一 台 真 实 的 以 该 语言 为 机 器 码 的 计算 机 
(如 JVMD) ;另外 一 个 含义 是 运行 对 应 规则 描述 语言 的 机 器 并 不 是 描述 语言 的 原 设 计 机 器 ， 
称 为 仿真 环境 (如 MS-DOS)。 在 防 病毒 行业 中 ,虚拟 机 被 称 为 通用 解密 器 。 虚 拟 机 技术 在 
实际 设计 中 难度 很 大 ,其 需要 模拟 的 元 素 过 多 且 行 为 分 析 需 要 人 工 智 能 理论 。 通 常 在 杀毒 
软件 中 提 到 的 虚拟 机 ,严格 地 说 ,是 不 能 称 为 虚拟 机 的 ,定义 为 虚拟 CPU 或 者 通用 解密 器 
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更 为 合适 。 杀 毒 虚拟 机 是 一 个 软件 模拟 的 CPU, 可 以 进行 取 指令 ,编译 ,执行 ,可 以 模拟 一 
段 代码 在 CPU 上 的 运行 结果 。 虚拟 机 首先 从 文件 中 确定 并 读 取 病毒 入 口 代码 ,然后 解释 执 
行 病毒 头 部 的 解密 段 ,最 后 在 执行 完 的 机 构 中 查找 病毒 的 特征 码 。 也 可 以 这 样 认为 ,这 里 的 
虚拟 ,并 非 是 创建 了 一 个 虚拟 环境 ,而 是 指 染 毒 文件 并 没有 实际 执行 ,只 是 虚拟 机 模拟 了 其 
真实 执行 时 的 效果 ,这 就 是 虚拟 机 查 毒 的 基本 原理 。 


11.2.2 病毒 防范 技术 


1. 引导 型 计算 机 病毒 的 识别 和 防范 

引导 型 计算 机 病毒 主要 是 感染 磁盘 的 引导 扇 区 ,也 就 是 常 说 的 磁盘 的 BOOT K. RAT 
在 使 用 被 感染 的 磁盘 (无 论 是 软盘 还 是 硬盘 ) 启 动 计算 机 时 它们 就 会 首先 取得 系统 控制 权 ， 
驻 留 内 存 之 后 再 引导 系统 ,并 伺机 传染 其 他 软盘 或 硬盘 的 引导 区 。 纯 粹 的 引导 型 计算 机 病 
毒 一 般 不 对 磁盘 文件 进行 感染 。 感 染 了 引导 型 计算 机 病毒 后 ,引导 记录 会 发 生变 化 。 当 然 ， 
通过 一 些 防 杀 计 算 机 病毒 软件 可 以 发 现 引 导 型 计算 机 病毒 ,在 没有 防 杀 计算 机 病毒 软件 的 
情况 下 可 以 通过 以 下 一 些 方法 判断 引导 扇 区 是 否 被 计算 机 病毒 感染 : 

G) 先 用 可 疑 磁盘 引导 计算 机 ,引导 过 程 中 , 按 F5 键 跳 过 CONFIG. SYS 和 
AUTOEXEC. BAT 中 的 驱动 程序 和 应 用 程序 的 加 载 ,这 时 用 MEM 或 MI 等 工具 查看 计算 
机 的 空余 内 存 空 间 (Free Memory Space) 的 大 小 ;再 用 与 可 疑 磁 盘 上 相同 版 本 的 .未 感染 计 
算 机 病毒 的 DOS 系统 软盘 启动 计算 机 ,启动 过 程 中 , 按 F5 键 跳 过 CONFIG. SYS 和 
AUTOEXEC. BAT 中 的 驱动 程序 和 应 用 程序 的 加 载 .然后 用 MEM 或 MI 等 工具 查看 并 记 
录 下 计算 机 空余 内 存 空 间 的 大 小 ,如 果 上 述 两 次 的 空余 内 存 空 间 大 小 不 一 致 , 则 可 疑 磁 盘 的 
引导 扇 区 肯定 已 被 引导 型 计算 机 病毒 感染 。 

(2) 用 硬盘 引导 计算 机 ,运行 DOS 中 的 MEM, 可 以 查看 内 存 分 配 情况 ,尤其 要 注意 常 
XLI T£ (Conventional Memory) 的 总 数 .一般 为 640KB, 装 有 硬件 防 杀 计算 机 病毒 芯片 的 计 
算 机 有 的 可 能 为 639KB。 如 果 常 规 内 存 总 数 小 于 639KB, 那 么 引导 扇 区 肯定 被 感染 上 引导 
型 计算 机 病毒 。 

G) 机 器 在 运行 过 程 中 刚 设 定好 的 时 间 .日 期 ,运行 一 会 儿 被 修改 为 默认 的 时 间 日期， 
这 种 情况 下 ,系统 很 可 能 带 有 引导 型 计算 机 病毒 。 

(4) 在 开机 过 程 中 ,CMOS 中 刚 设 定好 的 软盘 配置 ( 即 1. 44MB 或 1.2MB), 用 “干净 
的 ”软盘 启动 时 一 切 正常 ,但 用 硬盘 引导 后 ,再 去 读 软盘 则 无 法 读 取 ,此 时 CMOS 中 软盘 设 
定 情况 为 None, 这 种 情况 肯定 带 有 引导 型 计算 机 病毒 。 

(5) 硬盘 自 引导 正常 ,但 用 “干净 的 "DOS 系统 软盘 引导 时 ,无 法 访问 硬盘 如 C 盘 ( 某 些 
需要 特殊 的 驱动 程序 的 大 硬盘 和 FAT32. NTFS 等 特殊 分 区 除外 ) ,这 肯定 感染 上 引导 型 计 
算 机 病毒 。 

(6) 系统 文件 都 正常 ,但 Windows 95/98 经 常 无 法 启动 .这 有 可 能 是 感染 上 了 引导 型 计 
算 机 病毒 。 

上 述 介绍 的 仅 是 常见 的 几 种 情况 。 计 算 机 被 感染 了 引导 型 计算 机 病毒 ,最 好 用 防 杀 计 
算 机 病毒 软件 加 以 清除 .或 者 在 “干净 的 ”系统 启动 软盘 引导 下 ,用 备份 的 引导 扇 区 覆盖 。 

预防 引导 型 计算 机 病毒 ,通常 采用 以 下 一 些 方 法 : 

CD 坚持 从 不 带 计算 机 病毒 的 硬盘 引导 系统 。 
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(2) 安装 能 够 实时 监控 引导 扇 区 的 防 杀 计 算 机 病毒 软件 ,或 经 常用 能 够 查 杀 引导 型 计 
算 机 病毒 的 防 杀 计算 机 病毒 软件 进行 检查 。 

(3) 经 常备 份 系统 引导 扇 区 。 

(4) 某 些 底板 上 提供 引导 扇 区 计算 机 病毒 保护 功能 (Virus Protect) ,启用 它 对 系统 引 
导 扇 区 也 有 一 定 的 保护 作用 。 不 过 要 注意 的 是 启用 这 功能 可 能 会 造成 一 些 需 要 改写 引导 扇 
区 的 软件 (如 Windows NT 以 及 多 系统 启动 软件 等 ) 安 装 失败 。 

2. 文件 型 计算 机 病毒 的 识别 和 防范 

大 多 数 的 计算 机 病毒 都 属于 文件 型 计算 机 病毒 。 文 件 型 计算 机 病毒 一 般 只 传染 磁盘 上 
的 可 执行 文件 (COM EXE) ,在 用 户 调用 染 毒 的 可 执行 文件 时 ,计算 机 病毒 首先 被 运行 , 然 
后 计算 机 病毒 驻 留 内 存 伺机 传染 其 他 文件 ,其 特点 是 附着 于 正常 程序 文件 ,成 为 程序 文件 的 
一 个 外 壳 或 部 件 。 文 件 型 计算 机 病毒 通过 修改 COM 、EXE 或 OVL 等 文件 的 结构 ,将 计算 
机 病毒 代码 插入 到 宿主 程序 ,文件 被 感染 后 ,长 度 .日 期 和 时 间 等 大 多 发 生变 化 ,也 有 些 文件 
型 计算 机 病毒 传染 前 后 文件 长 度 . 日 期 .时 间 不 会 发 生 任何 变化 , 称 之 为 隐 型 计算 机 病毒 。 
隐 型 计算 机 病毒 是 在 传染 后 对 感染 文件 进行 数据 压缩 ,或 利用 可 执行 文件 中 有 一 些 空 的 数 
据 区 ,将 自身 分 解 在 这 些 空 区 中 ,从 而 达到 不 被 发 现 的 目的 。 通 过 以 下 方法 可 以 判别 文件 型 
计算 机 病毒 : 

(1) 在 用 未 感染 计算 机 病毒 的 DOS 启动 软盘 引导 后 ,对 同一 目录 列 目 录 (DIR) 后 文件 
的 总 长 度 与 通过 硬盘 启动 后 所 列 目录 内 文件 总 长 度 不 一 样 , 则 该 目录 下 的 某 些 文件 已 被 计 
算 机 病毒 感染 ,因为 在 带 毒 环境 下 ,文件 的 长 度 往往 是 不 真实 的 。 

(2) 有 些 文件 型 计算 机 病毒 (如 ONEHALF、NATAS、3783、FLIP 等 ), 在 感染 文件 的 
同时 也 感染 系统 的 引导 扇 区 ,如 果 磁 盘 的 引导 扇 区 被 葛 名 其 妙 地 破坏 了 . 则 磁盘 上 也 有 可 能 
有 文件 型 计算 机 病毒 。 

G) 系统 文件 长 度 发 生变 化 , 则 这 些 系统 文件 上 很 有 可 能 含有 计算 机 病毒 代码 。 应 记 
住 一 些 常见 的 DOS 系统 的 IO. SYS, MSDOS. SYS .COMMAND. COM,KRNL386, EXE 等 
系统 文件 的 长 度 。 

(4) 计算 机 在 运行 过 外 来 软件 后 ,经 常 死 机 ,或 者 Windows 95/98 无 法 正常 启动 ,运行 
经 常 出 错 ,等 等 ,都 有 可 能 是 感染 上 了 文件 型 计算 机 病毒 。 

(5) 微机 速度 明显 变 慢 ,曾经 正常 运行 的 软件 报 内 存 不 足 , 或 计算 机 无 法 正常 打印 ,这 
些 现象 都 有 可 能 感染 上 文件 型 计算 机 病毒 。 

(6) 有 些 带 毒 环境 下 ,文件 的 长 度 和 正常 的 完全 一 样 , 但 是 从 带 有 写 保护 的 软盘 复制 文 
件 时 ,会 提示 软盘 带 有 写 保护 ,这 肯定 是 感染 了 计算 机 病毒 。 

对 普通 的 单机 和 网 络 用 户 来 说 感染 文件 型 计算 机 病毒 后 ,最 好 的 办 法 就 是 用 防 杀 计算 
机 病毒 软件 清除 ,或 者 干脆 删除 带 毒 的 应 用 程序 ,然后 重新 安装 。 需 要 注意 的 是 用 防 杀 计算 
机 病毒 软件 清除 计算 机 病毒 的 时 候 必须 保证 内 存 中 没有 驻 留 计算 机 病毒 ,否则 老 的 计算 机 
病毒 是 清除 了 ,可 又 感染 上 新 的 了 。 

对 于 文件 型 计算 机 病毒 的 防范 ,一 般 采 用 以 下 一 些 方 法 : 

(1) 安装 最 新 版 本 的 、 有 实时 监控 文件 系统 功能 的 防 杀 计算 机 病毒 软件 。 

(2) 及 时 更 新 查 杀 计算 机 病毒 引擎 ,一 般 要 保证 每 月 至 少 更 新 一 次 ,有 条 件 的 可 以 每 周 
更 新 一 次 ,并 在 有 计算 机 病毒 突 发 事件 的 时 候 及 时 更 新 。 
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(3) 经 常 使 用 防 杀 计 算 机 病毒 软件 对 系统 进行 计算 机 病毒 检查 。 

(4) 对 关键 文件 ,如 系统 文件 .保密 的 数据 等 ,在 没有 计算 机 病毒 的 环境 下 经 常备 份 。 

(5) 在 不 影响 系统 正常 工作 的 情况 下 对 系统 文件 设置 最 低 的 访问 权限 ,以 防止 计算 机 
病毒 的 侵害 。 

(6) 当 使 用 Windows 95/98/2000/NT 操作 系统 时 ,修改 文件 夹 窗口 中 的 缺 省 属性 。 有 具 
体操 作为 : 双击 打开 “我 的 电脑 ”, 选 择 “ 查 看 ”>“ 选 项 ”命令 。 然 后 在 “查看 ”中 选择 “显示 所 
有 文件 ”以 及 不 选中 “隐藏 已 知 文件 类 型 的 文件 扩展 名 ”, 单 击 “ 确 定 ” 按 钮 。 注 意 不 同 的 操作 
系统 平台 可 能 显示 的 文字 有 所 不 同 。 


11.3 典型 病毒 检测 与 防范 产品 简介 


1. 瑞星 

瑞星 主要 面向 中 国 用 户 使 用 ,国内 病毒 库 更 新 很 快 , 具 有 较 强 的 杀毒 能 力 。 采 用 获得 欧 
盟 及 中 国 专 利 的 六 项 核心 技术 ,形成 全 新 软件 内 核 代码 ;具有 八大 绝技 和 多 种 应 用 特性 ;是 
目前 国内 外 同类 产品 中 最 具 实 用 价值 和 安全 保障 的 杀毒 软件 产品 。 近 几 年 , 随 着 软件 界面 
的 不 断 美化 ,占用 计算 机 资源 也 日 益 严重 ,希望 能 把 更 多 的 精力 用 在 杀毒 技术 不 断 改进 上 。 

2. 360 杀毒 

360 杀毒 是 360 安全 中 心 出 品 的 一 款 免 费 的 云 安全 杀毒 软件 。360 杀毒 具有 以 下 优点 : 
查 杀 率 高 .资源 占用 少 、 升 级 迅速 等 。 同 时 ,360 杀毒 可 以 与 其 他 杀毒 软件 共存 ,是 一 个 理想 
杀毒 备 选 方案 。360 杀毒 是 一 款 一 次 性 通过 VB100 认证 的 国产 杀毒 软件 。 

(1) 完全 永久 免费 的 杀毒 软件 。 

(2) 全 面 安 全 防护 ,强力 查 杀 病毒 。 

G) 查 杀 率 高 ,彻底 扫除 病毒 威胁 。 

(4) 检测 隐藏 文件 及 进程 病毒 。 

G) 领先 的 启发 式 扫描 ,预防 未 知 病毒 采用 虚拟 环境 启发 式 分 析 技 术 发 现 和 阻止 未 知 
病毒 。 

(6) 优化 设计 ,不 影响 系统 性 能 。 

(7) 快速 的 病毒 库 及 引擎 升级 。 

3. 卡巴 斯 基 

卡巴 斯 基 杀 毒 软件 是 一 款 来 自 俄罗斯 的 杀毒 软件 。 该 软件 能 够 保护 家 庭 用 户 .工作 站 、 
邮件 系统 和 文件 服务 器 以 及 网 关 。 除 此 之 外 ,还 提供 集中 管理 工具 、 反 垃圾 邮件 系统 、 个 人 
防火 墙 和 移动 设备 的 保护 ,包括 Palm 操作 系统 .手提 计算 机 和 智能 手机 。 卡 巴 斯 基 总 部 设 
在 俄罗斯 首都 莫斯科 ,Kaspersky Labs 是 国际 著名 的 信息 安全 领导 厂商 。 公 司 为 个 人 用 
户 ,企业 网 络 提 供 反 病 毒 、 防 黑客 和 反 垃 圾 邮件 产品 。 经 过 十 几 年 与 计算 机 病毒 的 战斗 , 卡 
巴 斯 基 获得 了 独特 的 知识 和 技术 ,使 得 卡巴 斯 基 成 为 了 病毒 防卫 的 技术 领导 者 和 专家 。 该 
公司 的 旋 舰 产品 卡巴 斯 基 反 病毒 软件 (Kaspersky Anti-Virus, 原 名 AVP) 被 众多 计算 机 专 
业 媒 体 及 反 病 毒 专业 评测 机 构 誉 为 病毒 防护 的 最 佳 产品 。2002 年 进入 中 国 , 开 始 人 气 一 
般 , 但 近 几 年 通过 各 种 宣传 渠道 (如 与 360 安全 卫士 合作 等 ), 加 上 超 强 的 杀毒 能 力 , 越 来 越 
被 中 国 用 户 所 接受 ,可 谓 世 界 第 一 。 不 过 该 产品 扫描 时 很 占 内 存 , 计 算 机 容易 卡 住 ,所 以 建 
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议 计算 机 配置 较 高 者 使 用 (1GB 以 上 内 存 ) 。 

4. AR 

江 民 公司 是 国家 认定 的 高 新 技术 企业 ,国内 知名 的 计算 机 反 病 毒 软件 公司 ,国际 反 病 毒 
协会 理事 单位 。 研 发 和 经 营 范 围 涉及 单机 、 网 络 反 病毒 软件 ;单机 、 网 络 黑客 防火 墙 ;邮件 服 
务 器 防 病毒 软件 等 一 系列 信息 安全 产品 。 江 民 科 技 拥 有 旗下 所 有 产品 的 完全 自主 知识 产 
权 。 江 民 科 技 的 全 球 反 病毒 监测 网 与 数 千家 反 病毒 机 构 和 组 织 合作 监测 病毒 ,国际 反 病 毒 
专家 24 小 时 提供 病毒 解决 方案 。 国 内 上 千家 服务 网 点 提供 快捷 、 周 到 的 售 前 售后 服务 ,可 
向 用 户 提 供 最 新 反 病 毒 信息 ,病毒 疫情 、 病 毒 库 升级 与 解决 方案 和 邮件 技术 支持 等 服务 。 此 
外 , 江 民 科技 创建 江 民 电脑 数据 修复 全 国 连锁 体系 ,在 全 国 各 地 已 有 数 百 家 加 盟 店 , 所 有 这 
些 , 组 成 了 有 江 民 特色 的 本 地 化 反 病 毒 综合 服务 平台 。 

5. 金山 毒霸 

金山 毒霸 也 是 国产 杀毒 中 比较 优秀 的 产品 ,对 国内 计算 机 病毒 的 查 杀 率 也 较 高 。 

6. 诺顿 杀毒 

诺顿 杀毒 软件 是 Symantec 公司 个 人 信息 安全 产品 之 一 , 亦 是 一 个 广泛 被 应 用 的 反 病 
毒 程序 。 该 项 产品 发 展 至 今 ,除了 原 有 的 防毒 外 ,还 有 防 间 谍 等 网 络 安全 风险 的 功能 。 诺 顿 
反 病 毒 产品 包括 : 诺顿 网 络 安全 特警 (Norton Internet Security) ,诺顿 反 病毒 (Norton 
Antivirus), 诺顿 360 ( Norton ALL-IN-ONE Security)、 诺顿 计算 机 大 师 (Norton 
SystemWorks) 等 产品 。 其 企业 版 资源 占用 少 , 广 为 中 国 用 户 使 用 ,并 且 免 费 升 级 。 但 诺顿 
安全 套装 占用 内 存 还 是 较 大 ,对 计算 机 配置 要 求 很 高 。 


11.4 网 络 病毒 防范 实例 


11.4.1 病毒 特征 码 的 提取 及 应 用 技术 


1. 病毒 特征 码 的 提取 

特征 码 就 是 从 病毒 体内 不 同位 置 提取 的 一 系列 字 节 ,杀毒 软件 就 是 通过 这 些 字 节 及 位 
置信 息 来 检验 某 个 文件 是 否 是 病毒 。 

每 个 杀毒 软件 公司 都 有 自己 的 特征 码 提取 方法 和 提取 工具 ,这 也 是 特别 需要 技术 的 地 
方 , 弄 不 好 就 造成 误 判 ,将 好 文件 当成 病毒 给 杀 了 。 杀 毒 软件 公司 在 提取 特征 码 后 ,一 般 都 
需要 经 过 较 严 格 的 测试 和 比 对 ,当然 也 有 时 间 紧 迫 ,来 不 及 充分 测试 就 匆匆 升级 病毒 库 ( 也 
就 是 特征 码 库 ) 的 情况 。Norton 误 删 Windows 系统 文件 就 是 这 样 造成 的 。 

2. 病毒 特征 码 的 应 用 

特征 码 技术 是 基于 对 已 知 病毒 分 析 、 查 解 的 反 病 毒 技 术 , 目 前 的 大 多 数 杀 病毒 软件 采用 
的 方法 主要 是 特征 码 查 毒 方案 与 人 工 解毒 并 行 , 亦 即 在 查 病毒 时 采用 特征 码 查 毒 ,在 杀 病 毒 
时 采用 人 工 编 制 解毒 代码 。 

特征 码 查 毒 方案 实际 上 是 人 工 查 毒 经 验 的 简单 表述 , 它 再 现 了 人 工 辩 识 病毒 的 一 般 方 
法 ,采用 了 “同一 病毒 或 同类 病毒 的 某 一 部 分 代码 相同 ”的 原理 ,也 就 是 说 ,如 果 病 毒 及 其 变 
种 、 变 形 病毒 具有 同一 性 , 则 可 以 对 这 种 同一 性 进行 描述 ,并 通过 对 程序 体 与 描述 结果 ( 亦 即 
“特征 码 ”) 进 行 比较 来 查找 病毒 。 而 并 非 所 有 病毒 都 可 以 描述 其 特征 码 ,很 多 病毒 都 是 难以 
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描述 甚至 无 法 用 特征 码 进 行 描述 。 使 用 特征 码 技术 需要 实现 一 些 补充 功 能 ,例如 近来 的 压 
缩 包 .压缩 可 执行 文件 自动 查 杀 技 术 。 

特征 码 查 毒 方案 也 具有 极 大 的 局 限 性 。 特 征 码 的 描述 取决 于 人 的 主观 因素 ,从 长 达 数 
千 字 节 的 病毒 体 中 撕 取 十 余 字 节 的 病毒 特征 码 , 需 要 对 病毒 进行 跟踪 、 反 汇编 以 及 其 他 分 
析 , 如 果 病 毒 本 身 具 有 反 跟 踪 技 术 和 变形 .解码 技术 ,那么 跟踪 和 反 汇编 以 获取 特征 码 的 情 
况 将 变 得 极其 复杂 。 此 外 ,要 撕 取 一 个 病毒 的 特征 码 , 必 然 要 获取 该 病毒 的 样本 ,再 由 于 对 
特征 码 的 描述 各 个 不 同 , 特 征 码 方法 在 国际 上 很 难得 到 广 域 性 支持 。 特 征 码 查 病毒 主要 的 
技术 缺陷 表现 在 较 大 的 误 查 和 误 报 上 ,而 杀 病 毒 技 术 又 导致 了 反 病 毒 软件 的 技术 迟滞 。 


11.4.2. Ti ER 


1. AE 

由 于 Microsoft 的 Office 系列 办 公 软 件 和 Windows 系统 占 了 绝 大 多 数 的 PC 软件 市 
场 ,加 上 Windows 和 Office 提供 了 宏 病 毒 编制 和 运行 所 必需 的 库 ( 以 VB 库 为 主 ) 支 持 和 传 
播 机 会 ,所 以 宏 病 毒 是 最 容易 编制 和 流传 的 病毒 之 一 ,很 有 代表 性 。 

如 果 撰 写 了 有 问题 的 宏 ,感染 了 通用 模板 (Normal. dob ,那么 只 要 一 执行 Word 文件 ， 
这 个 受 感染 的 通用 模板 便 会 传播 到 之 后 所 编辑 的 文档 中 去 ,如 果 其 他 用 户 打 开 了 感染 病毒 
的 文档 , 宏 病 毒 又 会 转移 到 他 的 计算 机 上 。 这 就 是 我 们 日 常 所 说 的 寄存 在 文档 或 模板 的 宏 
中 的 计算 机 宏 病 毒 。 

CD 宏 病 毒 发 作 方式 : 在 Word 打开 病毒 文档 时 , 宏 会 接管 计算 机 ,然后 将 自己 感染 到 
其 他 文档 ,或 直接 删除 文件 等 。Word 将 宏和 其 他 样式 储存 在 模板 中 ,因此 病毒 总 是 把 文档 
转换 成 模板 再 储存 它们 的 宏 。 这 样 的 结果 是 某 些 Word 版 本 会 强制 将 感染 的 文档 储存 在 模 
板 中 。 

(2) 判断 是 否 被 感染 : 宏 病 毒 一 般 在 发 作 的 时 候 没 有 特别 的 迹象 ,通常 是 会 伪装 成 其 
他 的 对 话 框 让 你 确认 。 在 感染 了 宏 病 毒 的 机 器 上 ,会 出 现 不 能 打印 文件 ,Office 文档 无 法 保 
存 或 另存 等 情况 。 

(3) 宏 病毒 带 来 的 破坏 :删除 硬盘 上 的 文件 ;将 私人 文件 复制 到 公开 场合 ;从 硬盘 上 发 
送 文件 到 指定 的 E-mail, FTP 地 址 。 

2. 防范 措施 

(1) 设置 宏 安全 级 别 

打开 Word 软件 ,选择 “工具 ”一 “选项 ”>“ 安 全 性 ”一 “ 宏 安 全 性 ”命令 。 这 样 就 打开 了 
宏 的 安全 级 别 属性 设置 选项 ,将 安全 级 别 由 默认 的 “高 ”修改 为 “非常 高 ”, 最 后 单 击 “ 确 定 ” 按 
钮 即 可 。 这 样 可 以 防止 除 Word 默认 的 宏 以 外 的 其 他 宏 运 行 。 

(2) 运行 宏 病毒 自动 提示 

打开 Word 软件 ,选择 “工具 ”一 “选项 ”>“ 安 全 性 ”一 “ 宏 安 全 性 ”命令 , 单 击 “ 可 靠 发 行商 ” 
标签 ,取消 选择 “信任 所 有 安装 的 加 载 项 和 模板 " 复 选 框 ,然后 单 击 “ 确 定 ” 按 钮 即 可 。 这 样 当 打 
开 含 有 宏 的 Word 文档 时 ,就 会 提示 宏 已 被 禁止 。 当 然 .也 可 能 让 正常 的 宏 使 用 受到 限制 。 

(3) 卸载 VBA 彻底 预防 宏 病 毒 

VBA 全 称 是 Visual Basic for Application, 它 是 Microsoft Visual Basic 的 宏 语 言 版 本 。 
用 于 Windows 应 用 程序 的 宏 。 是 Word 中 宏 的 支持 工具 包 , 一 旦 禁用 此 包 , 一 些 自 定义 模 
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板 和 所 有 的 宏 将 不 可 用 。 

具体 方法 : 双击 “控制 面板 ”中 的 “添加 /删除 程序 ”图 标 , 找 到 Microsoft Office 的 安装 项 ， 
单 击 “ 更 改 ” 按 钮 ,选择 “添加 或 删除 功能 ”选项 后 , 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 来 的 窗口 选 “ 选 择 
应 用 程序 的 高 级 自 定义 " 复 选 框 , 青 单 击 “ 下 一 步 "按钮 ,这 样 ,就 可 以 选择 删除 该 工具 包 。 

在 打开 的 Office 程序 及 附加 内 容 和 工具 中 单 击 “Office 共享 功能 ”前 的 加 号 ,找到 
Visual Basic for Application, 单 击 前 面 的 驱动 器 图 标 , 单 击 “ 不 安装 ”按钮 即 可 。 

(4) 一 般 的 杀毒 软件 都 可 以 清除 宏 病 毒 。 


11.4.3 网 络 病毒 及 防范 


最 近 几 年 随 着 Internet 在 全 球 的 普及 ,将 含 病毒 文件 附加 在 邮件 中 的 情况 不 断 增 多 ,使 
得 病毒 的 扩散 速度 也 急骤 提高 , 受 感染 的 范围 越 来 越 广 ,通过 网 络 传播 病毒 ,我 们 称 之 为 网 
络 病毒 。 

而 网 络 病毒 除了 具有 普通 病毒 的 这 些 特 性 外 ,还 具有 远 端 窃取 用 户 数据 . 远 端 控制 对 方 
计算 机 等 破坏 特性 ,如 特洛伊 木马 病毒 和 消耗 网 络 计算 机 的 运行 资源 , 拖 垮 网 络 服务 器 的 是 
虫 病毒 。 

1. 几 种 网 络 病毒 

CD 新 型 计算 机 病毒 “我 爱 你 ” 

2000 年 5 月 4 日 ,一 种 叫做 “我 爱 你 ”的 计算 机 病毒 开始 在 全 球 各 地 迅速 传播 。 这 种 病 
毒 主要 是 利用 Microsoft OutLook 电子 邮件 系统 的 漏洞 进行 感染 与 传播 的 ,邮件 的 主题 为 I 
LOVE YOU ,邮件 中 包含 一 个 VBS 附件 。 一 旦 在 Microsoft OutLook 里 打开 这 个 邮件 ,并 
运行 了 这 个 VBS 附件 ,系统 就 会 自动 复制 并 利用 感染 者 地 址 德 中 的 所 有 邮件 地 址 作为 目标 
发 送 病 毒 体 。 

对 付 这 类 电子 邮件 病毒 的 方法 很 简单 , 那 就 是 对 于 附件 里 包含 有 可 执行 文件 的 邮件 都 
删除 掉 , 如 COM、EXE、BAT、VBS 文件 等 。 

(2) Win32/ Aspam. Trojan 特洛伊 木马 

此 病毒 是 通过 一 封 伪造 的 声称 来 自 Microsoft 公司 的 电子 邮件 进行 传播 的 ,邮件 声称 
附件 里 带 的 是 一 个 Spam 过 滤器 而 欺骗 用 户 运行 邮件 附带 的 可 执行 文件 。 一 旦 用 户 运 行 ， 
病毒 就 感染 用 户 的 计算 机 。 

邮件 附带 的 可 执行 文件 为 Aspam. exe( 文 件 长 度 为 173 568 字 节 ), 是 一 个 特洛伊 木马 。 
如 果 该 文件 被 执行 , 它 将 显示 一 个 消息 框 .内容 如 下 : 

Congratulations 

Your mail client is now properly configured to use Microsoft Anti Spam Policy? 

实际 上 ,Aspam 特洛伊 木马 在 \Windows\System 目录 下 增长 了 一 个 名 为 Amcis32. dll 
(文件 长 度 为 145 408 字 节 ) 的 DLL 文件 。 对 付 该 病毒 .也 是 将 附件 里 包含 有 可 执行 部 分 的 
邮件 删 掉 。 

(3) Zelu 特洛伊 木马 通 辑 令 

Zelu 是 一 个 伪装 为 Y2K bug 修复 工具 的 特洛伊 木马 .通过 电子 邮件 进行 传播 ,感染 后 
它 通过 覆盖 系统 文件 ,而 使 系统 文件 内 容 不 能 恢复 甚至 永远 丢失 。Zelu 特洛伊 木马 是 以 一 
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个 名 为 Y2K. EXE 的 可 执行 文件 进入 计算 机 系统 。 病 毒 发 作 后 , 它 会 游 遍 所 有 驱动 器 记录 
的 文件 ,并 用 以 下 文件 内 容 覆 盖 所 有 文件 :“This file is sick! It was contaminated by the 
radiation liberated by the explosion of the atomic bomb ”。 随 着 受 破坏 的 文件 被 覆盖 ,这些 
文件 的 内 容 将 不 能 再 恢复 且 永 远 丢 失 。 

(4) 泡沫 小 子 病毒 

VBS/BubbleBoy( 泡 沫 小 子 ) 是 一 个 通过 Microsoft OutLook 广泛 传播 的 蠕虫 病毒 。 它 
可 以 被 看 做 “概念 试验 ”(proof-of-concept) 蠕 虫 。 它 是 第 一 个 不 需要 从 电子 邮件 打开 附件 就 
能 被 激活 的 蠕虫 病毒 。BubbleBoy 会 发 送 一 封 主题 为 "BubblleBoy is back!”( 泡 沫 小 子 来 
TDJ HTML 电子 邮件 。 如 果 你 的 IE 5. 0 的 安全 保护 设置 级 别 置 为 中 .低级 , 则 该 
HTML 页 隐 含 着 ( 植 人 )VBS 程序 代码 ,在 未 提示 用 户 的 情况 下 就 会 被 执行 。 

(5) Happy99 蠕虫 程序 

Happy99 也 是 一 种 以 电子 邮件 形式 传播 的 网 络 病毒 ,邮件 的 附件 里 包含 了 一 个 名 为 
Happy99. exe 的 程序 ,一 不 小 心 执行 后 ,出 现 一 幅 放 礼花 的 画面 ,此 时 你 的 机 器 已 经 被 感染 
了 。 此 附件 是 文件 长 度 为 10 000 字 节 的 蠕虫 程序 。 通 常 该 程序 会 以 邮件 的 附件 形式 传递 
开 来 ,或 者 从 一 些 程序 组 中 下 载 而 来 。 

2. 防范 网 络 病毒 

(1) 不 要 开启 匿名 邮件 附件 ,只 打开 已 知 附件 ,以 及 可 信 资 源 建 立 链接 关系 。 

(2) 关闭 自动 打开 附件 功能 。 

(3) 执行 .EXE、 HTA、. VBS 和 其 他 可 执行 附件 时 要 谨慎 。 

(4) 打开 . DOC、. XLS、. PPT 文件 时 要 小 心 。 

(5) 不 要 在 本 地 邮件 列表 中 保存 别名 为 ALL-Company 的 邮件 。 

(6) 将 Internet Explorer 4. x 或 以 上 版 本 的 安全 级 别 设 定 成 “高 级 ”; 终 止 Active X 和 
Active Scripting. 

(7) OutLook Express: 终止 打开 和 /或 预览 窗口 ,在 对 话 框 下 面 ,不 要 选中 预览 窗口 。 

(8) Netscape: 终止 JavaScript 在 菜单 栏 中 选取 “编辑 /参数 ”, 在 对 话 框 左边 , 单 击 “ 高 
级 ”选项 ,在 对 话 框 右边 ,不 要 启用 邮件 和 新 闻 的 JavaScript, 停 止 JavaScript 浏览 最 高 安全 
级 别 。 

(9) 其 他 邮件 用 户 : 终止 Visual Basic Scripting 或 JavaScript。 


11.4.4 恶意 代码 及 防范 


1. 禁止 使 用 计算 机 

(1) 现象 描述 : 尽管 网 络 流 谍 们 用 这 一 招 的 不 多 ,但 是 一 旦 用 户 中 招 ,后 果真 是 不 堪 设 
想 。 浏 览 了 含有 这 种 恶意 代码 的 网 页 其 后 果 是 :“ 关 闭 系统 ”“ 运 行 "“ 注 销 ”、 注 册 表 编辑 
器 .DOS 程序 .运行 任何 程序 被 禁止 ,系统 无 法 进入 " 实 模式 ”驱动 器 被 隐藏 。 

(2) 解决 办 法 : 一 般 来 说 上 述 八 大 现象 用 户 都 遇 上 了 的 话 ,建议 重 装 系统 。 

2. 格式 化 硬盘 

CD 现象 描述 : 这 类 恶意 代码 的 特征 就 是 利用 TE 执行 ActiveX 的 功能 ,让 用 户 无 意 中 
格式 化 自己 的 硬盘 。 只 要 用 户 浏览 了 含有 它 的 网 页 ,浏览 器 就 会 弹出 一 个 警告 说 “当前 的 页 
面 含有 不 安全 的 ActiveX, 可 能 会 对 你 造成 危害 ”, 问 你 是 否 执 行 。 如 果 你 选择 “是 ”的 话 , 硬 
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盘 就 会 被 快速 格式 化 ,因为 格式 化 时 窗口 处 于 最 小 化 ,用 户 可 能 根本 就 没 注意 ,等 发 现时 已 
无 法 更 改 。 

(2) 解决 办 法 : 除非 知道 自己 是 在 做 什么 ,否则 不 要 随便 回答 “是 ”。 该 提示 信息 还 可 
以 被 修改 ,如 改 成 “Windows 正在 删除 本 机 的 临时 文件 ,是 否 继续 ”, 所 以 千 万 要 注意 。 此 
外 ,将 计算 机 上 Format. com,Fdisk. exe、Del. exe,Deltree. exe 等 命令 改名 也 是 一 个 办 法 。 

3. 下 载运 行 木马 程序 

(1) 现象 描述 : 由 于 IE 5. 0 本 身 的 漏洞 ,在 网 页 上 浏览 也 可 以 感 当 木马。 方法 就 是 利 
用 了 Microsoft fj RT DARE A. EXE 文件 的 EML 文件 的 漏洞 ,将 木马 放 在 EML 文件 里 ,然后 
用 一 段 恶意 代码 指向 它 。 上 网 者 浏览 到 该 恶意 网 页 ,就 会 在 不 知 不 觉 中 下 载 了 木马 并 执行 ， 
其 间 没 有 任何 提示 和 警告。 

(2) 解决 办 法 : 第 一 个 办 法 是 升级 IE 5.0,IE 5.0 以 上 版 本 无 此 漏洞 ;此 外 ,安装 金山 
毒霸 Norton 等 病毒 防火 墙 , 它 会 把 网 页 木马 当 作 病毒 迅速 查 杀 。 

4. 注册 表 的 锁定 

COD 现象 描述 : 有 时 浏览 了 恶意 网 页 后 系统 被 修改 , 想 要 用 Regedit 更 改 时 , 却 发 现 系 
统 提 示 用 户 没有 权限 运行 该 程序 ,然后 让 用 户 联系 管理 员 。 

(2) 解决 办 法 : 能 够 修改 注册 表 的 文件 不 止 Regedit 一 个 , 找 一 个 注册 表 编 辑 器 ,例如 ， 
Reghance。 将 注册 表 中 的 HKEY_CURRENT_USER\Software\ Microsoft\ Windows 
CurrentVersion\Policies\System 下 的 DWORD 值 DisableRegistry Tools 键 值 恢复 为 0, 即 
可 恢复 注册 表 。 

5. 默认 主页 修改 

CD 现象 描述 : 一 些 网 站 为 了 提高 自己 的 访问 量 和 做 广告 宣传 ,利用 IE 的 漏洞 ,将 访 
问 者 的 IE 的 起 始 页 和 默认 主页 进行 修改 ,为 了 不 让 用 户 改 回去 ,甚至 将 IE 选项 中 的 默认 主 
页 按钮 变 为 失效 的 灰色 。 

(2) 解决 办 法 : 

于 针对 起 始 页 的 修改 。 展 开 注 册 表 到 HKEY _LOCAL_MACHINE\ Software V 
Microsoft\ Internet Explorer\Main ,在 右 半 部 分 窗口 中 将 Start Page 的 键 值 改 为 
about: blank 即 可 。 同 理 , 展 开 注 册 表 到 HKEY_CURRENT_USERASoftware\ 
Microsoft\ Internet Explorer\Main ,在 右 半 部 分 窗口 中 将 Start Page 的 键 值 改 为 
about:blank 即 可 。 注 意 , 有 时 进行 了 以 上 步骤 后 仍然 没有 生效 ,估计 是 有 程序 加 载 
到 了 启动 项 的 缘故 ,就 算 修改 了 .下 次 启动 时 也 会 自动 运行 程序 ,将 上 述 设置 改 回来 ， 
解决 方法 : 运行 注册 表 编 辑 器 Regedit. exe, 然后 依次 展开 HKEY | LOCAL _ 
MACHINE\Software\ Microsoft\ Windows\ Current Version\ Run 主键 ,然后 将 下 面 
的 registry. exe 子 键 (名 字 不 固定 ) 删 除 ,最 后 删除 硬盘 里 的 同名 可 执行 程序 。 退 出 
注册 编辑 器 ,重新 启动 计算 机 ,问题 就 解决 了 。 

9 针对 默认 主页 的 修改 。 运行 注册 表 编 辑 器 ,展开 HKEY_LOCAL_MACHINE\ 
Software\Microsoft\Internet Explorer\Main ,将 Default-Page- URL 子 键 的 键 值 中 的 
那些 恶意 网 站 的 网 址 改正 ,或 者 设置 为 IE 的 默认 值 。 

n 针对 IE 选项 按钮 失效 。 运 行 注 册 表 编辑 器 ,将 HKEY_CURRENT_USER\Software 
\Policies\Microsoft\ Internet Explorer\Control Panel 中 的 DWORD {Ë "Settings" = 
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dword:1, "Links" 一 dword:1, "SecAddSites" 一 dword:1 全 部 改 为 0, 将 HKEY_ 
USERS. DEFAULT\Software\ Policies\ Microsoft\Internet Explorer\Control Panel 
下 的 DWORD 值 homepage 的 键 值 改 为 0。 

6. Sp IE 标题 栏 

(1) 现象 描述 : 在 系统 默认 状态 下 ,由 应 用 程序 本 身 来 提供 标题 栏 的 信息 。 但 是 ,有 些 
网 络 流氓 为 了 达到 广告 宣传 的 目的 ,将 串 值 Windows Title 下 的 键 值 改 为 其 网 站 名 或 更 多 
的 广告 信息 ,从 而 达到 改变 IE 标题 栏 的 目的 。 

(2) 解决 办 法 : 展开 注册 表 到 HKEY_LOCAL_MACHINE\ Software\ Microsoft\ 
Internet ExplorerMMain 下 ,在 右 半 部 分 窗口 找到 串 值 Windows Title, 将 该 串 值 删除 。 重 新 
启动 计算 机 。 

7. 算 改 默认 搜索 引擎 

CD 现象 描述 : 在 I 浏览 器 的 工具 栏 中 有 一 个 搜索 引擎 的 工具 按钮 ,可 以 实现 网 络 搜 
索 ,被 算 改 后 只 要 点 击 那 个 搜索 工具 按钮 就 会 链接 到 网 络 流氓 想 要 你 去 的 网 站 。 

(2) 解决 办 法 : 运行 注册 表 编 辑 器 ,依次 展开 HKEY_LOCAL_MACHINE\Software\ 
Microsoft\ Internet Explorer\Search\Customize\Search 和 HKEY LOCAL. MACHINEV 
SoftwareN Microsoft V Internet. Explorer \ Search \ SearchAssistant. 将 CustomizeSearch 及 
SearchAssistant 的 键 值 改 为 某 个 搜索 引擎 的 网 址 即 可 。 

8. IE 右键 修改 

(1) 现象 描述 : 有 的 网 络 流氓 为 了 宣传 的 目的 ,将 你 的 右键 弹出 的 功能 菜单 进行 了 修 
改 , 并 且 加 入 了 一 些 乱 七 八 糟 的 东西 ,甚至 禁止 用 户 下 载 ,将 IE 窗口 中 右键 功能 都 屏蔽 掉 。 

(2) 解决 办 法 : 

n 针对 右键 菜单 被 修改 。 打开 注 册 表 编辑 器 ,找到 HKEY_CURRENT_USER\ 
Software\Microsoft\ Internet Explore\rMenuExt, 删 除 相关 的 广告 条 文 。 

a 针对 右键 功能 失效 。 打 开 注 册 表 编辑 器 ,展开 到 HKEY_CURRENT_USER\ 
Software\ Policies V Microsoft \ Internet. Explorer \ Restrictions, 将 其 DWORD 值 
NoBrowserContextMenu 的 值 改 为 0。 

9. 算 改 地 址 栏 文字 

(1) 现象 描述 : 中 招 者 的 IE 地 址 栏 下 方 出 现 一 些 莫 名 其 妙 的 文字 和 图 标 , 地 址 栏 里 的 
下 拉 框 里 也 有 大 量 的 地 址 ,并 不 是 用 户 以 前 访问 过 的 。 

(2) 解决 办 法 : 

a 删除 地 址 栏 下 的 文字 。 在 HKEY_CURRENT_USER\Software\Microsoft\Internet 

ExplorerVToolBar 下 找到 键 值 LinksFolderName, 将 其 中 的 内 容 删 去 即 可 。 

a 删除 地 址 栏 中 无 用 的 地 址 。 在 HKEY_CURRENT_USER\Software\Microsoft\ 
Internet ExplorerType\URLs 中 删除 无 用 的 键 值 即 可 。 

10. 启动 时 弹出 对 话 框 

(1) 现象 描述 : 

a 系统 启动 时 弹出 对 话 框 ,通常 是 一 些 广 告 信息 ,例如 ,“ 欢 迎 访问 某 某 网 站 ”等 。 

a 开机 弹出 网 页 ,通常 会 弹出 很 多 窗口 ,让 用 户 措 手 不 及 ;更 严重 的 可 以 重复 弹出 窗口 
直到 死机 。 
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(2) 解决 办 法 : 

n 针对 弹出 对 话 框 。 打 开 注 册 表 编辑 器 ,找到 HKEY_LOCAL _MACHINE\Software\ 
Microsoft\ Windows \ CurrentVersion V Winlogon 主键 ,然后 在 右边 窗口 中 找到 
LegalNoticeCaption 和 LegalNoticeText 这 两 个 字符 串 ,删除 这 两 个 字符 串 就 可 以 解 
决 在 启动 时 出 现 提示 框 的 现象 了 。 

里 针对 弹出 网 页 。 选 择 * 开 始 ” 一 "运行 ”命令 ,输入 msconfig 后 选择 “启动 ”, 把 里 面 后 
组 为 url html, htm 的 网 址 文件 都 勾 掉 。 

11. IE 窗口 定时 弹出 

(1) 现象 描述 : 中 招 者 的 机 器 每 隔 一 段 时 间 就 弹出 IE 窗口 ,地 址 指向 网 络 流氓 的 个 人 

主页 。 
(2) 解决 办 法 : 选择 “开始 ”一 运行 ”命令 ,输入 msconfig 后 选择 “启动 ”命令 ,把 里 面 后 
级 为 hta 的 都 色 掉 ,然后 重启 计算 机 。 


思考 题 


. 什么 是 病毒 ? 

. 什么 是 宏 病 毒 ? 

. 病毒 的 特征 是 什么 ? 
. 病毒 检测 技术 有 哪些 ? 
.如 何 防 护 恶意 代码 ? 
.如 何 防 护 网 络 病毒 ? 
.如 何 防 护 宏 病 毒 ? 


aN Q0 to - 
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12.1 黑客 基本 概念 


12.1.1 什么 是 黑客 


什么 是 黑客 ? 黑客 是 Hacker 的 音译 , 源 于 动词 Hack, 其 引申 意义 是 指 “ 干 了 一 件 非常 
漂亮 的 事 ”。 这 里 说 的 黑客 是 指 那 些 精 于 某 方面 技术 的 人 。 对 于 计算 机 而 言 ,黑客 就 是 精通 
网 络 、 系 统 、 外 设 以 及 软 硬 件 技 术 的 人 。 

什么 是 骇 客 ? 有 些 黑 客 逾越 尺度 ,运用 自己 的 知识 去 做 出 有 损 他 人 权益 的 事情 ,就 称 这 
种 人 为 骇 客 (Cracker, 破 坏 者 )。 

目前 将 黑客 的 分 成 三 类 

(OD 破坏 者 ; 

(2) 红 客 ; 

G) RI. 


12.1.2. 黑客 发 展 历史 


1. 萌芽 期 (1969 以 前 ) 

早 在 1878 年 ,贝尔 电话 公司 成 立 的 消息 已 经 迅速 引 来 一 群 爱 戏弄 人 的 少年 ,他 们 用 自 
制 的 交换 机 中 断 电话 或 者 胡乱 接 驶 线路 。 诚 然 ,这 帮 纯 粹 为 捣蛋 而 捣蛋 的 小 子 称 不 上 什么 
严格 意义 上 的 黑客 ,但 他 们 却 实 实在 在 的 应 当 算 作 电脑 黑客 精神 上 的 原型 。 

至 19 世纪 60 年 代 , 黑 客家 谱 中 的 第 一 代 终 于 出 现 , 他 们 对 于 新 兴 的 计算 机 科技 充满 好 
奇 。 由 于 当时 的 计算 机 还 是 那些 长 达 数 英里 、 重 达 数 百 吨 的 大 型 主机 ,而 技术 人 员 需 要 劳 师 
动 众 才 能 通过 它们 完成 某 项 如 今 不 值 一 谈 的 工作 ,为 了 尽量 发 挥 它们 的 潜质 ,最 棱 的 计算 机 
精英 们 便 编 写 出 了 一 些 简 洁 高 效 的 工作 捷径 程序 。 这 些 捷径 往往 较 原 有 的 程序 系统 更 完 
善 , 而 这 种 行为 便 被 称 为 Hack。 

不 过 ,如 果 要 评选 早期 最 具 价 值 的 黑客 行为 ,相信 应 当 是 1969 年 由 贝尔 实验 室 两 位 职 
员 丹 尼斯 .里 奇 及 肯 ， 汤普森 制作 的 UNIX 操作 系统 ,即使 两 位 创造 者 采用 的 全 然 是 黑客 
手法 ,但 实际 上 毫 无 “ 黑 ” 味 儿 ,不仅 如 此 ,在 某 种 程度 上 讲 还 大 大 推动 了 软件 科学 的 发 展 。 

2. 成 长 期 (1970 一 1999) 

19 世纪 70 年 代 可 以 说 是 黑客 的 少年 时 期 , 随 着 技艺 的 日 渐 成 熟 , 他 们 心中 那些 迷蒙 而 
散乱 的 思想 也 逐步 成 型 ,昔日 凭借 本 能 行事 的 第 一 代 黑 客 们 开始 了 由 肾 化 蝶 的 进程 。 大 约 
在 1971 年 ,越战 老兵 约翰 。 德 雷 珀 发 明了 利用 汽笛 吹 入 电话 听 简 而 成 功 打 免费 电话 的 奇 
招 。 接 着 , 反 文化 领袖 阿 比 " 霍 夫 曼 更 明目张胆 地 出 版 了 一 本 专门 探讨 如 何人 侵 电 话 系统 
打 免 费 长 途 的 刊物 ,他 极力 宣扬 个 人 在 大 型 机 构 面 前 应 当 保有 尊严 ,并 鼓吹 如 果 尊 严 被 剥夺 
人 们 应 当 具 有 反击 的 权利 ,他 的 思想 和 言论 所 造就 的 影响 力 足 足 流 传 了 二 十 多 年 。 
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黑客 队伍 在 这 个 时 期 日 渐 壮大 ,一 些 后 来 在 IT 技术 史 中 占有 重要 地 位 的 人 物 开始 如 
露头 角 , 其 中 包括 苹果 机 创始 人 之 一 的 沃 兹 尼 亚 克 。 越 来 越 多 的 黑客 们 在 共享 着 技术 所 带 
来 的 喜悦 的 时 候 , 发 现 唯一 美中不足 的 是 欠缺 互相 交流 心得 的 地 方 。 因 此 ,在 1978 年 ,来 自 
芝加哥 的 兰 迪 。 索 萨 及 沃 德 。 克 里 斯 琴 森 便 制 作 了 第 一 个 供 黑 客 交 流 的 网 上 公告 版 ,此 
BBS 至 今 仍 在 运行 之 中 。 

3. 成 熟 期 (1999 至 今 ) 

黑客 思想 开始 逐渐 成 熟 , 众 多 黑客 纷纷 再 次 回归 技术 ,没有 在 热衷 于 媒体 的 炒作 。 黑 客 道 
德 与 黑客 文化 的 讨论 和 延伸 也 让 黑客 逐步 的 重 返 自然 状态 ,致力 于 对 网 络 安全 技术 的 研究 。 


12.2 黑客 攻击 及 防范 技术 


12.2.1 网 络 其 骗 及 防范 


1. IP 欺骗 攻击 

1) 原理 

IP 欺骗 技术 就 是 通过 伪造 某 台 主机 的 IP 地 址 骗取 特权 从 而 进行 攻击 的 技术 。 许 多 应 
用 程序 认为 如 果 数 据 包 能 够 使 其 自身 沿 着 路 由 到 达 目 的 地 ,而 且 应 答 包 也 可 以 回 到 IP 地 
址 ,那么 源 IP 地 址 一 定 是 有 效 的 ,而 这 正 是 使 源 IP 地 址 欺骗 攻击 成 为 可 能 的 前 提 。 

假设 同一 网 段 内 有 两 台 主 机 A、B, 另 一 网 段 内 有 主机 X。B 授予 A 某 些 特权 。X 为 获 
得 与 A 相同 的 特权 ,所 做 欺骗 攻击 如 下 : 首先 ,X 冒充 A, 向 主机 B 发 送 一 个 带 有 随机 序列 
号 的 SYN 包 。 主 机 B 响应 , 回 送 一 个 应 答 包 给 A, 该 应 答 号 等 于 原 序列 号 加 1。 然 而 ,此 时 
主机 A 已 被 主机 X 利用 拒绝 服务 攻击 “淹没 "了 ,导致 主机 A 服务 失效 。 结 果 , 主 机 
A 将 BB 发 来 的 包 丢 弃 。 为 了 完成 三 次 握手 ,X 还 需要 向 B 回 送 一 个 应 答 包 ,其 应 答 号 等 于 B 
向 A 发 送 数 据 包 的 序列 号 加 1。 此 时 主机 X 并 不 能 检测 到 主机 B 的 数据 包 ( 因 为 不 在 同一 
网 段 ) ,只 有 利用 TCP 顺序 号 估算 法 来 预测 应 答 包 的 顺序 号 并 将 其 发 送 给 目标 机 B。 如 果 
猜测 正确 ,B 则 认为 收 到 的 ACK 是 来 自 内 部 主机 A。 此 时 ,X 即 获得 了 主机 A 在 主机 B 上 
所 享有 的 特权 ,并 开始 对 这 些 服务 实施 攻击 。 

2) 防范 

采取 以 下 措施 可 以 尽 可 能 地 保护 系统 免 受 这 类 攻击 : 

(D 抛弃 基于 地 址 的 信任 策略 : 阻止 这 类 攻击 的 一 种 非常 容易 的 办 法 就 是 放弃 以 地 址 
为 基础 的 验证 。 不 允许 r 类 远程 调用 命令 的 使 用 ;删除 . rhosts 文件 ;清空 /etc/hosts. equiv 
文件 。 这 将 迫使 所 有 用 户 使 用 其 他 远程 通信 手段 ,如 Telnet、SSH、Skey 等 。 

© 使 用 加 密 方法 : 在 包 发 送 到 网 络 上 之 前 .我 们 可 以 对 它 进行 加 密 。 虽 然 加 密 过 程 要 
求 适当 改变 目前 的 网 络 环境 ,但 它 将 保证 数据 的 完整 性 和 真实 性 。 

© 进行 包 过 滤 : 可 以 配置 路 由 器 使 其 能 够 拒绝 网 络 外 部 与 本 网 内 具有 相同 IP 地 址 的 
连接 请 求 。 而 且 , 当 包 的 IP 地 址 不 在 本 网 内 时 ,路 由 器 不 应 该 把 本 网 主机 的 包 发 送出 去 。 

2. ARP 欺骗 攻击 

1) 原理 

在 局 域 网 中 ,通信 前 必须 通过 ARP 协议 将 IP 地 址 转换 为 第 二 层 物理 地 址 ( 即 MAC 地 
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db). ARP 协议 对 网 络 安全 具有 重要 的 意义 ,但 是 当初 ARP 方式 的 设计 没有 考虑 到 过 多 的 
安全 问题 ,给 ARP 留 下 很 多 的 隐患 ,ARP 欺骗 就 是 其 中 一 个 例子 。 而 ARP 欺骗 攻击 就 是 
利用 该 协议 漏洞 ,通过 伪造 IP 地 址 和 MAC 地 址 实现 ARP 欺骗 的 攻击 技术 。ARP 欺骗 攻 
击 有 两 种 可 能 ,一 种 是 对 路 由 器 ARP 表 的 欺骗 ; 另 一 种 是 对 内 网 计算 机 ARP. 表 的 欺骗 , 当 
然 也 可 能 两 种 攻击 同时 进行 。 但 不 管 怎 么 样 ,欺骗 发 送 后 ,计算 机 和 路 由 器 之 间 发 送 的 数据 
可 能 就 被 送 到 错误 的 MAC 地 址 上 。 

2) 防范 

在 客户 端 使 用 ARP 命令 绑 定 网 关 的 真实 MAC 地 址 命令 ;在 交换 机 上 做 端口 与 MAC 
地 址 的 静态 绑 定 ;在 路 由 器 上 做 TP 地 址 与 MAC 地 址 的 静态 绑 定 ;使 用 ARP SERVER 按 
一 定 的 时 间 间 隔 广播 网 段 内 所 有 主机 的 正确 IP-MAC 映射 表 。 

3. DNS 欺骗 攻击 

D) 原理 : 当 一 个 DNS 服务 器 掉 入 陷阱 ,使 用 了 来 自 一 个 恶意 DNS 服务 器 的 错误 信息 ， 
那么 该 DNS 服务 器 就 被 欺骗 了 。DNS 欺骗 会 使 那些 易 受 攻击 的 DNS 服务 器 产生 许多 安 
全 问题 ,例如 ,将 用 户 引 导 到 错误 的 互联 网 站 点 ,或 者 发 送 一 个 电子 邮件 到 一 个 未 经 授权 的 
邮件 服务 器 。 网 络 攻击 者 通常 通过 以 下 几 种 方法 进行 DNS 欺骗 。 

(1) 缓存 感染 : 黑客 会 熟练 地 使 用 DNS 请 求 ,将 数据 放 入 一 个 没有 设防 的 DNS 服务 器 
的 缓存 当中 。 这 些 缓存 信息 会 在 客户 进行 DNS 访问 时 返回 给 客户 ,从 而 将 客户 引导 到 入 侵 
者 所 设置 的 运行 木马 的 Web 服务 器 或 邮件 服务 器 上 ,然后 黑客 从 这 些 服务 器 上 获取 用 户 
信息 。 

(2) DNS 信息 劫持 : 入侵 者 通过 监听 客户 端 和 DNS 服务 器 的 对 话 , 通 过 猜测 服务 器 响 
应 给 客户 端的 DNS 查询 ID。 每 个 DNS 报 文 包括 一 个 相关 联 的 16 位 ID 号 ,DNS 服务 器 根 
据 这 个 ID 号 获取 请 求 源 位 置 。 黑 客 在 DNS 服务 器 之 前 将 虚假 的 响应 交 给 用 户 , 从 而 欺骗 
客户 端 去 访问 恶意 的 网 站 。 

(3) DNS 重 定向 : 攻击 者 能 够 将 DNS 名 称 查询 重 定向 到 恶意 DNS 服务 器 。 这 样 攻 击 
者 可 以 获得 DNS 服务 器 的 写 权限 。 

2) 防范 : 直接 用 IP 访问 重要 的 服务 ,这 样 至 少 可 以 避 开 DNS 欺骗 攻击 。 但 这 需要 用 
户 记 住 要 访问 的 IP 地 址 。 

加 密 所 有 对 外 的 数据 流 , 对 服务 器 来 说 就 是 尽量 使 用 SSH. 之 类 的 有 加 密 支 持 的 协议 ， 
对 一 般 用 户 应 该 用 PGP 之 类 的 软件 加 密 所 有 发 到 网 络 上 的 数据 。 这 也 并 不 是 怎么 容易 的 
事情 。 

4. 源 路 由 欺骗 攻击 

1) 原理 

通过 指定 路 由 ,以 假冒 身份 与 其 他 主机 进行 合法 通信 或 发 送 假 报 文 , 使 受 攻击 主机 出 现 
错误 动作 ,这 就 是 源 路 由 攻击 。 在 通常 情况 下 ,信息 包 从 起 点 到 终点 走 过 的 路 径 是 由 位 于 此 
两 点 间 的 路 由 器 决定 的 ,数据 包 本 身 只 知道 去 往 何 处 ,但 不 知道 该 如 何 去 。 源 路 由 可 使 信息 
包 的 发 送 者 将 此 数据 包 要 经 过 的 路 径 写 在 数据 包 里 ,使 数据 包 循 着 一 个 对 方 不 可 预料 的 路 
径 到 达 目 的 主机 。 

2) 防范 

一 般 采用 两 种 措施 : 一 是 对 付 这 种 攻击 最 好 的 办 法 是 配置 好 路 由 器 ,使 它 抛弃 那些 由 
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外 部 网 进来 的 却 声 称 是 内 部 主机 的 报 文 ;二 是 在 路 由 器 上 关闭 源 路 由 ,使 用 命令 no ip 


source-route, 


12.2.2. WU BUR TU 


1. 原理 及 分 类 

要 了 解 嗅 探 器 及 其 工作 方法 , 先 要 知道 其 工作 原理 。 

网 络 的 一 个 特点 就 是 数据 总 是 在 流动 中 ,从 一 处 到 另外 一 处 ,而 互联 网 是 由 错综复杂 的 
各 种 网 络 交汇 而 成 的 ,也 就 是 说 , 当 数 据 从 网 络 的 一 台 计 算 机 到 另 一 台 计 算 机 的 时 候 , 通 常 
会 经 过 大 量 不 同 的 网 络 设备 ,用 tracert 命令 就 可 以 看 到 这 种 路 径 是 如 何 进 行 的 。 如 果 传输 
过 程 中 ,有 人 看 到 了 传输 中 的 数据 ,问题 有 时 会 很 严重 。 

嗅 探 侦 听 主要 有 两 种 途径 ,一 种 是 将 侦 听 工具 软件 放 到 网 络 连接 的 设备 或 者 放 到 可 以 
控制 网 络 连 接 设 备 的 计算 机 上 ,( 如 网 关 服 务 器 .路 由 器 ) 一 一 当然 要 实现 这 样 的 效果 可 能 也 
需要 通过 其 他 安全 技术 来 实现 :比如 通过 安全 方式 将 嗅 探 器 发 给 某 个 网 络 管理 员 ,使 其 不 自 
觉 的 为 攻击 者 进行 了 安装 。 另 外 一 种 是 针对 不 安全 的 局 域 网 (采用 交换 hub 实现 ), 放 到 个 
人 计算 机 上 就 可 以 实现 对 整个 局 域 网 的 侦 听 ,原理 是 这 样 的 :共享 hub 获得 一 个 子 网 内 需 
要 接收 的 数据 时 ,并 不 是 直接 发 送 到 指定 主机 ,而 是 通过 广播 方式 发 送 到 每 台 计 算 机 ,对 于 
处 于 接收 者 地 位 的 计算 机 就 会 处 理 该 数据 ,而 其 他 非 接 收 者 的 计算 机 就 会 过 滤 这 些 数据 ,这 
些 操作 与 计算 机 操作 者 无 关 , 是 系统 自动 完成 的 ,但 是 计算 机 操作 者 如 果 有 意 的 话 , 他 是 可 
以 将 那些 原本 不 属于 他 的 数据 打开 一 一 这 就 是 安全 隐患 。 

嗅 探 器 分 软件 和 硬件 两 种 ,一 种 是 硬件 的 , 另 一 种 是 软件 的 ,硬件 的 价格 比较 昂贵 ,一 般 
用 户 还 是 用 软件 的 。 

2. 实用 工具 介绍 一 一 NetXray 

NetXray 是 一 款 常 用 的 嗅 探 器 ,功能 比较 强大 , 它 具备 了 常用 的 嗅 探 功 能 ,并 且 使 用 方 
便 。 下 面 来 看 看 它 的 具体 用 法 和 步 又， 

D 整体 轮廓 

NetXray 是 英文 版 的 ,下 面 先 了 解 大 体 的 框架 是 有 必要 的 。 

在 NetXray 的 主 界面 上 有 菜单 栏 和 工具 栏 。 菜 单 栏 有 六 个 选项 ,分 别 为 File( 文 件 )、 
Capture( 捕 获 ) .Packet( 包 )、Tools( 工 具 )、Window( 窗 口 ) 和 Help( 帮 助 ) 。 

工具 栏 里 集合 了 大 部 分 的 功能 ,依次 为 : Open( 打 开 文 件 )、Save( 保 存 )、Print( 打 印 )、 
Abort Printing RÑ FT ER) „First Packet( 回 到 第 一 个 包 ) .Previous (前 一 个 包 ) Next F — 
个 包 ) Last Packet( 到 达 最 后 一 个 包 ) , Dashboard [28 8) „Capture Panel Ji E90 , Packet 
Generator f Z ^E 48) , Host Table( 显 示 主 机 表 ) 等 。 

NetXray 的 大 部 分 功能 都 能 用 工具 栏 里 的 按钮 实现 。 

2) 确定 目标 

选择 Capture— Capture Filter Setting , 单 击 Profilems 选择 New, £ New Profile Name 
中 输入 First. LA Default 为 模板 选择 OK ,然后 单 击 Done 按钮 ,在 New Profile Name 中 输入 
First. D} Default 为 模板 选择 OK ,然后 单 击 Done 按钮 。 

设置 过 滤 所 有 目标 IP 是 xxx. xxx. xxx. xxx 的 报 文 , 即 指向 Any 输入 :xxx. xxx. xxx. 
xxx 现在 就 可 以 开始 抓 包 了 ,同时 用 IE 登录 刚才 输入 的 IP, 会 发 现 NetXray 窗口 中 的 指针 
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在 移动 ,等 到 它 提示 你 过 滤 到 包 后 ,就 可 以 停止 抓 包 了 。 

选中 一 个 目标 IP 是 xxx. xxx. xxx 的 报 文 , 选 择 菜 单条 中 的 Packet Edit Display Filte 
— Data Pattern— Add Pattern, 到 TCP 层 选 中 8080 目标 端口 .选择 set data. TE name 中 输 
A TCP。 单 击 OK 按钮 确定 ,然后 在 Packet 中 选择 Apply Display Filter。 以 后 用 proxy 规 
则 过 滤 将 只 过 滤 目 标 IP 是 xxx. xxx. xxx. xxx, 目 标 端 口 是 8080 的 报 文 。 

3) 设 定 条 件 (端口 ) 

确定 好 了 目标 . 接 下 来 设 定 嗅 探 的 条 件 : 选择 Filter Setting Data Pattern ,例如 ,过 滤 经 
过 bbs( 端 口 2323) 的 IP 包 , 先 选中 第 一 行 ,用 Toggle AND/OR 调整 成 OR, 在 弹出 的 对 话 
框 里 设置 :Packet 34 2 Hex( 十 六 进 制 ), 从 顶头 开始 填写 09 13,( 因 为 十 进 制 的 2323 对 应 
十 六 进 制 的 0x0913) ,而 IP 包 使 用 网 络 字 节 顺 序 ,高 字 节 在 低地 址 。 起 名 为 beginbbs, 单 击 
OK 按钮 ,再 次 选择 Edit Pattern, Packet 36 2 Hex 从 顶头 开始 填写 09 13 起 名 为 endbbs， 
单 击 OK 按钮 。 于 是 最 外 层 的 OR 下 有 两 个 叶子 ,分 别 对 应 两 个 Pattern。 

4) 开始 

NetXray 所 谓 的 高 级 协议 过 滤 事 实 上 就 是 端口 过 滤 ,用 上 面 介绍 的 方法 指定 源 端口 、 目 
标 端口 均 过 滤 0x00 0x17(23) ,就 可 以 达到 和 指定 Telnet 过 滤 一 样 的 效果 。 因 为 Telnet 就 
是 23 端口 ,所 以 如 果 想 捕捉 一 个 非 标准 Telnet 的 通信 ,必须 自己 指定 端口 过 滤 。 

如 果 要 分 析 Telnet 协议 并 还 原 屏 幕 显示 ,只 需要 抓 从 Server 到 Client 的 回 显 数据 即 
可 ,因为 口令 不 回 显 , 这 种 过 滤 规 则 下 抓 不 到 口令 明文 。 用 NetXray 抓 从 Client 到 Server 
包 , 指 定 过 滤 口 令 关键 字 。 设 置 方 法 是 先 指定 DP 过 滤 规 则 ,将 Capture Capture Filter 
Setting EX any <--> any, 以 最 大 可 能 地 捕 提 口令。 然后 增加 一 个 过 滤 模 式 ,Packet 54 
4 Hex 0x50 41 53 53, 再 增加 一 个 过 滤 模 式 ,Packet 54 4 Hex 0x70 61 73 73。 两 者 是 or Bi 
式 , 因 为 这 种 关键 字 在 网 络 传输 中 大 小 写 不 敏感 。 剩 下 的 就 是 等 口令 来 了 。 注 意 ,不 必 指 定 
过 滤 特 定 高 级 协议 ,直接 指定 过 滤 IP 协议 族 就 可 以 了 .用 这 种 办 法 FTP/POP3 口令 是 很 容 
易 看 清楚 的 。 

3. 防护 

理论 上 , 嗅 探 程 序 是 不 可 能 被 检测 出 来 的 ,因为 嗅 探 程序 是 一 种 被 动 的 接收 程序 ,属于 
被 动 触发 的 , 它 只 会 收集 数据 包 , 而 不 发 送出 任何 数据 ,但 是 当 它 安装 在 一 台 正 常 的 局 域 网 
内 的 计算 机 上 的 时 候 会 产生 一 些 数 据 流 。 

下 面 介 绍 一 种 简单 的 检测 方法 Ping, 

如 果 发 送 一 个 请 求 给 有 嗅 探 程序 的 机 器 ,很 多 嗅 探 器 程序 将 作出 应 答 。 具 体 方法 

(1) 怀疑 IP 地 址 为 10.0. 0. 1 的 机 器 装 有 嗅 探 程序 , 它 的 MAC 地 址 确定 为 00-40-05- 
A4-79-32。 

(2) 确保 机 器 是 在 这 个 局 域 网 中 间 。 

(3) 现在 修改 MAC 地 址 为 00-40-05-A4-79-33。 

(4) 现在 用 Ping 命令 Ping 这 个 IP 地 址 。 

(5) 没有 任何 人 能 够 看 到 发 送 的 数据 包 , 因 为 每 台 计 算 机 的 MAC 地 址 无 法 与 这 个 数 
据 包 中 的 目的 MAC 相符 ,所 以 ,这 个 包 应 该 会 被 丢弃 。 

(6) 如 果 你 看 到 了 应 答 , 说 明 这 个 MAC 包 没 有 被 丢弃 ,也 就 是 说 , 嗅 探 器 存在 。 
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12.2.3 扫描 技术 及 防范 


入 侵 者 的 每 一 次 入 侵 几 乎 都 是 从 扫描 开始 的 ,扫描 软件 首先 会 判断 远程 计算 机 是 否 存 
在 ,接着 对 存在 的 远程 计算 机 进行 扫描 ,探测 其 开放 的 端口 。 入 侵 者 通过 扫描 的 结果 可 以 确 
定 目 标 主机 打开 的 端口 服务、 以 及 存在 的 各 种 漏洞 等 信息 ,然后 实施 攻击 ,因此 防 扫 描 是 非 
常 重要 的 。 

1. 扫描 工具 

攻击 者 采用 的 扫描 手段 是 很 多 的 ,可 以 使 用 Ping、 网 络 邻 居 、SuperScan、NMAP、NC 等 
命令 和 工具 进行 远程 计算 机 的 扫描 。 其 中 SuperScan 的 扫描 速度 非常 快 ,而 NMAP 的 扫描 
非常 的 专业 ,不 但 误 报 很 少 ,而 且 还 可 以 扫描 到 很 多 的 信息 ,包括 系统 漏洞 .共享 密码 、 开 启 
服务 等 。 

2. 防范 原理 

要 针对 这 些 扫描 进行 防范 ,首先 要 禁止 ICMP 的 回应 , 当 对 方 进行 扫描 的 时 候 , 由 于 无 
法 得 到 ICMP 的 回应 ,扫描 器 会 误 认 为 主机 不 存在 ,从 而 达到 保护 自己 的 目的 。 

3. 防范 

1) 关闭 端口 

关闭 闲置 和 有 潜在 危险 的 端口 。 这 个 方法 比较 被 动 , 它 的 本 质 是 将 除了 用 户 需 要 用 到 
的 正常 计算 机 端口 之 外 的 其 他 端口 都 关闭 掉 。 因 为 就 黑客 而 言 ,所 有 的 端口 都 可 能 成 为 攻 
击 的 目标 。 可 以 说 ,计算 机 的 所 有 对 外 通信 的 端口 都 存在 潜在 的 危险 ,而 一 些 系 统 中 必要 的 
通信 端口 ,如 访问 网 页 需要 的 HTTP(80 端口 ); QQ(4000 端口 ) 等 不 能 被 关闭 。 

在 Windows NT 核心 系统 (Windows 2000/XP/ 2003) 中 关闭 掉 一 些 闲 置 的 端口 是 比 
较 方 便 的 ,可 以 采用 “定向 关闭 指定 服务 的 端口 ”( 黑 名 单 ) 和 “只 开放 允许 端口 的 方式 ”( 白 名 
单 ) 进 行 设置 。 计 算 机 的 一 些 网 络 服务 会 有 系统 分 配 默 认 的 端口 ,将 一 些 闲 置 的 服务 关闭 
掉 , 其 对 应 的 端口 也 会 被 关闭 了 。 

选择 “控制 面板 ”>“ 管 理工 具 ”>“ 服 务 ” 选 项 ,关闭 掉 计算 机 的 一 些 没 有 使 用 的 服务 (如 
FTP 服务 .DNS 服务 .IIS Admin 服务 等 ) ,它们 对 应 的 端口 也 被 停 用 。 至 于 “只 开放 允许 端 
口 的 方式 ”, 可 以 利用 系统 的 “TCP/IP 筛选 ”功能 实现 ,设置 的 时 候 ,“ 只 允许 ”系统 的 一 些 基 
本 网 络 通信 需要 的 端口 即 可 。 

2) 屏蔽 端口 

检查 各 端口 ,有 端口 扫描 的 症状 时 ,应 立即 屏蔽 该 端口 。 这 种 预防 端口 扫描 的 方式 通过 
用 户 自己 手工 是 不 可 能 完成 的 ,或 者 说 完成 起 来 相当 困难 ,需要 借助 软件 。 这 些 软 件 就 是 我 
们 常用 的 网 络 防 火 墙 。 

防火 墙 的 工作 原理 是 :首先 检查 每 个 到 达 用 户 计算 机 的 数据 包 , 在 这 个 包 被 计算 机 上 运 
行 的 任何 软件 看 到 之 前 ,防火 墙 有 完全 的 和 否决 权 , 可 以 禁止 用 户 计算 机 接收 Internet. 上 的 任 
何 东西 。 当 第 一 个 请 求 建立 连接 的 包 被 计算 机 回应 后 ,一 个 “TCP/IP 端口 ?被 打开 ;端口 扫 
描 时 ,对 方 计算 机 不 断 和 本 地 计算 机 建立 连接 ,并 逐渐 打开 各 个 服务 所 对 应 的 “TCP/IP 端 
口 ” 及 闲置 端口 。 防 火 墙 经 过 自 带 的 拦截 规则 判断 ,就 能 够 知道 对 方 是 否 正 进行 端口 扫描 ， 
并 拦截 掉 对 方 发 送 过 来 的 所 有 扫描 需要 的 数据 包 。 

现在 市 面 上 几乎 所 有 网 络 防火 墙 都 能 够 抵御 端口 扫描 ,在 默认 安装 后 ,应 该 检查 一 些 防 
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火 墙 所 拦截 的 端口 扫描 规则 是 否 被 选中 ,否则 它 会 放行 端口 扫描 ,而 只 是 在 日 志 中 留 下 
而 已 。 

3) 方法 工具 

(1) 系统 防火 墙 。 现 在 很 多 的 防火 墙 都 有 禁止 ICMP 的 设置 ,而 Windows XP SP2 自 
带 的 防火 墙 也 包括 该 功能 。 启 用 这 项 功能 的 设置 非常 简单 : 选择 “控制 面板 ”>“Windows 
防火 墙 ”, 单 击 “ 高 级 ”选项 卡 ,选择 系统 中 已 经 建立 的 Internet 连接 方式 (宽带 连接 ) , 单 击 旁 
边 的 “设置 "按钮 打开 “高 级 设置 "窗口 , 单 击 ICMP 选项 卡 ,确认 没有 勾 选 “允许 传人 的 回 显 
请 求 ”, 最 后 单 击 “ 确 定 ” 按 钮 即 可 。 

另外 ,通过 其 他 专业 的 防火 墙 软件 不 但 可 以 拦截 来 自 局 域 网 的 各 种 扫描 入 侵 , 从 软件 的 
日 志 中 ,还 可 以 查看 到 数据 包 的 来 源 和 入 侵 方 式 等 。 

(2) 第 三 方 防火 墙 。 在 企业 局 域 网 中 部 署 第 三 方 的 防火 墙 , 这 些 防火 墙 都 自 带 了 一 些 
默认 的 “规则 ”, 可 以 非常 方便 地 应 用 或 者 取消 应 用 这 些 规则 。 当 然 也 可 以 根据 具体 需要 创 
建 相 应 的 防火 墙 规则 ,这 样 可 以 比较 有 效 地 阻止 攻击 者 的 恶意 扫描 。 


12.2.4 口令 破解 技术 及 防范 


1. 口令 破解 技术 

攻击 者 攻击 目标 时 常常 把 破译 用 户 的 口令 作为 攻击 的 开始 。 只 要 攻击 者 能 猜测 或 者 确 
定 用 户 的 口令 ,他 就 能 获得 机 器 或 者 网 络 的 访问 权 , 并 能 访问 到 用 户 能 访问 到 的 任何 资源 。 
如 果 这 个 用 户 有 域 管 理 员 或 root 用 户 权限 ,这 是 极其 危险 的 。 

1) 字典 攻击 

因为 多 数 人 使 用 普通 词典 中 的 单词 作为 口令 ,发 起 词典 攻击 通常 是 较 好 的 开端 。 词 典 
攻击 使 用 一 个 包含 大 多 数 词典 单词 的 文件 ,用 这 些 单词 猜测 用 户口 令 。 使 用 一 部 1 万 个 单 
词 的 词典 一 般 能 猜测 出 系统 中 70% 的 口令 。 在 多 数 系统 中 ,和 尝试 所 有 的 组 合 相 比 ,词典 
攻击 能 在 很 短 的 时 间 内 完成 。 

2) 强行 攻击 

许多 人 认为 如 果 使 用 足够 长 的 口令 ,或 者 使 用 足够 完善 的 加 密 模式 ,就 能 有 一 个 攻 不 破 
的 口令 。 事 实 上 没有 攻 不 破 的 口令 ,这 只 是 个 时 间 问 题 。 如 果 有 速度 足够 快 的 计算 机 能 学 
试 字母 ,数字 特殊 字符 所 有 的 组 合 ,将 最 终 能 破解 所 有 的 口令 。 这 种 类 型 的 攻击 方式 叫 强 
行 攻击 。 使 用 强行 攻击 , 先 从 字母 a 开始 ,尝试 aa ab ac 等 ,然后 尝试 aaa aab aac 等 。 

攻击 者 也 可 以 利用 分 布 式 攻击 。 如 果 攻 击 者 希望 在 尽量 短 的 时 间 内 破解 口令 ,他 不 必 购 
买 大 量 昂贵 的 计算 机 。 他 会 间 入 几 个 有 大 批 计算 机 的 公司 并 利用 这 些 公司 的 资源 破解 口令 。 

3) 利用 系统 管理 员 的 失误 

在 现代 的 UNIX 操作 系统 中 ,用 户 的 基本 信息 存放 在 passwd 文件 中 ,而 所 有 的 口令 则 
经 过 DES 加 密 方法 加 密 后 专门 存放 在 一 个 叫 shadow 的 文件 中 。 黑 客 们 获取 口令 文件 后 ， 
就 会 使 用 专门 的 破解 DES 加 密 法 的 程序 来 解 口令 。 同 时 ,由 于 为 数 不 少 的 操作 系统 都 存在 
许多 安全 漏洞 ,bug 或 一 些 其 他 设计 缺陷 ,这 些 缺 陷 一 旦 被 找 出 ,黑客 就 可 以 长 驱 直 入 。 例 
如 ,让 Windows95/98 系统 后 门洞 开 的 BO 就 是 利用 了 Windows 的 基本 设计 缺陷 放置 特 洛 
伊 木马 程序 。 

特洛伊 木马 程序 可 以 直接 侵入 用 户 的 计算 机 并 进行 破坏 , 它 常 被 伪装 成 工具 程序 或 者 
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游戏 等 诱 使 用 户 打 开 带 有 特洛伊 木马 程序 的 邮件 附件 或 从 网 上 直接 下 载 ,一 旦 用 户 打 开 了 
这 些 邮件 的 附件 或 者 执行 了 这 些 程 序 之 后 ,它们 就 会 像 古 特 洛 伊人 在 敌人 城 外 留 下 的 藏 满 
士兵 的 木马 一 样 留 在 自己 的 计算 机 中 ,并 在 自己 的 计算 机 系统 中 隐藏 一 个 可 以 在 Windows 
启动 时 悄悄 执行 的 程序 。 当 用 户 连接 到 Internet 上 时 ,这 个 程序 就 会 通知 攻击 者 ,来 报告 用 
户 的 IP 地址 以 及 预先 设 定 的 端口 。 攻 击 者 在 收 到 这 些 信息 后 ,再 利用 这 个 潜伏 在 其 中 的 程 
序 ,就 可 以 任意 地 修改 用 户 的 计算 机 的 参数 设 定 、 复 制 文件 .窥视 用 户 整个 硬盘 中 的 内 容 等 ， 
从 而 达到 控制 用 户 的 计算 机 的 目的 。 

4) PWDump2 

PWDump?2 不 是 一 个 口令 破解 程序 ,但 是 它 能 用 来 从 SAM 数据 库 中 提取 口令 Hash, 
虽然 LOphtcrack 已 经 内 建 了 这 个 特征 ,但 是 PWDump2 还 是 很 有 用 的 。 首 先 , 它 是 一 个 小 
型 的 、 易 使 用 的 命令 行 工具 ,能 提取 口令 Hash; 其 次 ,目前 很 多 情况 下 LOphtcrack 不 能 提取 
口令 Hash, 4 SYSTEM 是 一 个 能 在 NT 下 运行 的 程序 ,为 SAM 数据 库 提供 了 很 强 的 加 
密 功 能 ,如 果 SYSTEM 在 使 用 ,LOphtcrack 就 无 法 提取 Hash 口令 ,但 是 PWDump2 还 能 使 
用 ;而 且 要 在 Windows 2000 下 提取 Hash 口令 ,必须 使 用 PWDump2, 因 为 系统 使 用 了 更 强 
的 加 密 模式 来 保护 信息 。 

2. 防范 

COD 禁止 IPC 空 连接 

Cracker 可 以 利用 net use 命令 建立 空 连接 ,进而 人 侵 , 还 有 net view,nbtstat 这 些 都 是 
基于 空 连接 的 ,禁止 空 连接 就 好 了 。 打 开 注 册 表 ,找到 Local MachineSystemCurrent- 
ControlSetControlLSA-RestrictAnonymous ,把 这 个 值 改 成 1 即 可 。 

(2) 禁止 at 命令 

Cracker 往往 给 用 户 放置 木马 ,然后 让 它 运 行 ,这 时 他 就 需要 at 命令 了 。 只 要 打开 管理 
工具 服务 ,禁用 task scheduler ihm. 

(3) 关闭 超级 终端 服务 

Cracker 经 常会 用 到 超级 终端 服务 进入 用 户 的 计算 机 ,关闭 此 服务 可 以 提高 用 户 的 安 
全 性 。 

(4) 关闭 SSDP Discover Service 服务 

此 服务 主要 用 于 启动 家 庭 网 络 设备 上 的 UPnP 设备 ,服务 同时 会 启动 5000 端口 。 可 能 
造成 DDoS 攻击 ,让 CPU 使 用 达到 100% ,从 而 使 计算 机 崩溃 。 一 般 情况 下 没 人 会 对 个 人 
计算 机 去 做 DDoS 攻击 ,但 这 个 使 用 过 程 中 也 非常 的 占用 带宽 , 它 会 不 断 地 向 外 界 发 送 数据 
包 , 影 响 网 络 传输 速率 ,所 以 还 是 关 了 好 。 

(5) 关闭 Remote Registry 服务 

不 允许 远程 修改 注册 表 可 以 提高 用 户 的 安全 性 。 

(6) 禁用 TCP/IP 上 的 NetBIOS 

选择 “网 上 邻居 ”一 “属性 ”一 “本 地 连接 ”一 “属性 ”一 “Internet 协议 (TCP/IP) 属 性 ”一 

“高 级 ”命令 ,在 WINS 面板 的 NetBIOS 选项 上 设置 “禁用 TCP/IP 上 的 NetBIOS”。 这 样 

Cracker 就 无 法 用 nbtstat 命令 来 读 取 用 户 的 NetBIOS 信息 和 网 卡 MAC 地 址 了 。 

(7) 关闭 DCOM 服务 

DCOM 服务 使 用 135 端口 ,除了 被 用 做 查询 服务 外 , 它 还 可 能 引起 直接 的 攻击 ,关闭 方 
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法 是 : 在 “运行 ”对 话 框 中 输入 dcomcnfg, 在 弹出 的 组 件 服务 窗口 里 选择 默认 属性 标签 , 取 
消 * 在 此 计算 机 上 启用 分 布 式 COM” 即 可 。 

(8) 把 共享 文件 的 权限 从 everyone 组 改 成 “授权 用 户 ” 

everyone 在 Windows 2000 中 意味 着 任何 有 权 进 入 网 络 的 用 户 都 能 够 获得 这 些 共享 资 
料 。 任 何 时 候 都 不 要 把 共享 文件 的 用 户 设 置 成 everyone 组 ,包括 打印 共享 。 

另外 还 要 取消 其 他 不 必要 的 服务 。 


12.2.5 拒绝 服务 攻击 及 防范 


分 布 式 拒绝 服务 攻击 (DDoS) 是 目前 黑客 经 常 采 用 而 难以 防范 的 攻击 手段 。 

1. DDoS 攻击 概念 

Dos 的 攻击 方式 有 很 多 种 ,最 基本 的 DoS 攻击 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 
服务 资源 ,从 而 使 合法 用 户 无 法 得 到 服务 的 响应 。 

DDoS 攻击 手段 是 在 传统 的 DoS 攻击 基础 之 上 产生 的 一 类 攻击 方式 。 单 一 的 DoS 攻 
击 一 般 是 采用 一 对 一 方式 的 , 当 攻 击 目标 的 CPU 速度 低 、 内 存 小 或 者 网 络 带宽 小 等 各 项 性 
能 指标 不 高 时 它 的 效果 是 明显 的 。 随 着 计算 机 与 网 络 技术 的 发 展 , 计 算 机 的 处 理 能 力 迅 速 
增长 ,内存 大 大 增加 ,同时 也 出 现 了 千 兆 级 别 的 网 络 , 这 使 得 DoS 攻击 的 困难 程度 加 大 了 。 

它 的 原理 就 很 简单 。 如 果 说 计算 机 与 网 络 的 处 理 能 力 加 大 了 10 倍 , 用 一 台 攻 击 机 来 攻 
击 不 再 起 作用 的 话 ,攻击 者 使 用 10 台 攻 击 机 同时 攻击 呢 ? 用 100 台 呢 ? DDoS 就 是 利用 更 
多 的 倪 偶 机 来 发 起 进攻 ,以 比 从 前 更 大 的 规模 来 进攻 受害 者 。 

高 速 广泛 连接 的 网 络 给 大 家 带 来 了 方便 ,也 为 DDoS 攻击 创造 了 极为 有 利 的 条 件 。 在 
低速 网 络 时 代 时 ,黑客 占领 攻击 用 的 倪 儒 机 时 ,总 是 会 优先 考虑 离 目 标 网 络 距 离 近 的 机 器 ， 
因为 经 过 路 由 器 的 跳 数 少 , 效 果 好 。 而 现在 电信 和 骨干 节点 之 间 的 连接 都 是 以 Gbps 为 级 别 
的 ,大 城市 之 间 更 可 以 达到 2. 5Gbps 的 连接 ,这 使 得 攻击 可 以 从 更 远 的 地 方 或 者 其 他 城市 
发 起 ,攻击 者 的 倪 介 机 位 置 可 以 分 布 在 更 大 的 范围 ,选择 起 来 更 灵活 了 。 

2. 被 DDoS 攻击 时 的 现象 

被 攻击 主机 上 有 大 量 等 待 的 TCP 连接 ,网 络 中 充斥 着 大 量 的 无 用 的 数据 包 , 源 地 址 为 
假 制 造 高 流量 无 用 数据 ,造成 网 络 拥塞 ,使 受害 主机 无 法 正常 和 外 界 通 信 , 利 用 受害 主机 提 
供 的 服务 或 传输 协议 上 的 缺陷 ,反复 高 速 地 发 出 特定 的 服务 请 求 , 使 受害 主机 无 法 及 时 处 理 
所 有 正常 请 求 ,严重 时 会 造成 系统 死机 。 

3. 攻击 运行 原理 

一 个 比较 完善 的 DDoS 攻击 体系 分 成 四 大 部 分 , 先 来 看 一 下 最 重要 的 第 二 和 第 三 部 分 ， 
它们 分 别 用 做 控制 和 实际 发 起 攻击 。 注 意 控制 机 与 攻击 机 的 区 别 , 对 第 四 部 分 的 受害 者 来 
说 ,DDoS 的 实际 攻击 包 是 从 第 三 部 分 攻击 倪 儒 机 上 发 出 的 ,第 二 部 分 的 控制 机 只 发 布 命令 
而 不 参与 实际 的 攻击 。 对 第 二 和 第 三 部 分 计算 机 ,黑客 有 控制 权 或 者 是 部 分 的 控制 权 , 并 把 
相应 的 DDoS 程序 上 传 到 这 些 平 台 上 ,这些 程序 与 正常 的 程序 一 样 运行 并 等 待 来 自 黑客 的 
指令 ,通常 它 还 会 利用 各 种 手段 隐藏 自己 不 被 别人 发 现 。 在 平时 ,这 些 便 偶 机 器 并 没有 什么 
异常 ,只 是 一 旦 黑客 连接 到 它们 进行 控制 .并 发 出 指令 的 时 候 , 攻 击 便 偶 机 就 成 为 害 人 者 去 
发 起 攻击 了 。 
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4. DDoS 攻击 的 防范 

到 目前 为 止 ,进行 DDoS 攻击 的 防御 还 是 比较 困难 的 。 首 先 ,这 种 攻击 的 特点 是 它 利 用 
T TCP/IP 协议 的 漏洞 ,除非 不 使 用 TCP/IP。 不 过 防止 DDoS 攻击 并 不 是 绝对 不 可 行 的 事 
情 。 互 联网 的 使 用 者 各 种 各 样 ,与 DDoS 攻击 做 斗争 ,不 同 的 角色 有 不 同 的 任务 。 我 们 以 这 
样 几 种 角色 为 例 : 企业 网 管理 员 ISP 和 ICP 管理 员 、 骨 干 网 络 运营 商 。 

1) 企业 网 管理 员 

网 管 员 作为 一 个 企业 内 部 网 的 管理 者 ,往往 也 是 安全 员 、 守 护 神 。 在 他 维护 的 网 络 中 有 
一 些 服务 器 需要 向 外 提供 WWW 服务 ,因而 不 可 避免 地 成 为 DDoS 的 攻击 目标 ,可 以 从 主 
机 与 网 络 设备 两 个 角度 去 考虑 : 

关闭 不 必要 的 服务 ,限制 同时 打开 的 SYN 半 连 接 数目 ,缩短 SYN 半 连 接 的 Time Out 
时 间 , 及 时 更 新 系统 补丁 。 禁 止 对 主机 的 非 开 放 服 务 的 访问 ,限制 同时 打开 的 SYN 最 大 连 
接 数 ,限制 特定 IP 地 址 的 访问 ,启用 防火 墙 的 防 DDoS 的 属性 ,严格 限制 对 外 开放 的 服务 器 
的 向 外 访问 第 五 项 主要 是 防止 自己 的 服务 器 被 当做 工具 去 害 人 。 

2) ISP/ICP 管理 员 

ISP/ICP 为 很 多 中 小 型 企业 提供 了 各 种 规模 的 主机 托管 业务 ,所 以 在 防 DDoS 时 ,除了 
与 企业 网 管理 员 一样 的 手段 外 ,还 要 特别 注意 自己 管理 范围 内 的 客户 托管 主机 不 要 成 为 倪 
偶 机 。 客 观 上 说 ,这 些 托管 主机 的 安全 性 普遍 是 很 差 的 ,有 的 连 基 本 的 补丁 都 没有 打 就 赤膊 
上 阵 了 ,成 为 黑客 最 喜欢 的 “肉鸡 ”, 因 为 不 管 这 台 机 器 黑客 怎么 用 都 不 会 有 被 发 现 的 危险 。 
而 作为 ISP 的 管理 员 ,对 托管 主机 是 没有 直接 管理 的 权力 的 ,只 能 通知 让 客户 来 处 理 。 在 实 
际 情 况 时 ,有 很 多 客户 与 自己 的 托管 主机 服务 商 配合 得 不 是 很 好 ,造成 ISP 管理 员 明 知 自己 
负责 的 一 台 托管 主机 成 为 了 倪 偶 机 , 却 没有 什么 办 法 的 局 面 。 

3) 骨干 网 络 运 营 商 

骨干 网 络 运 营 商 提供 了 互联 网 存在 的 物理 基础 。 如 果 骨 干 网 络 运 营 商 可 以 很 好 地 合作 
的 话 ,DDoS 攻击 可 以 很 好 地 被 预防 。 

目前 我 们 至 少 可 以 做 到 把 自己 的 网 络 与 主机 维护 好 ,首先 让 自己 的 主机 不 成 为 别人 利 
用 的 对 象 去 攻击 别人 ;其 次 ,在 受到 攻击 的 时 候 , 要 尽量 保存 证 据 , 以 便 事后 追查 ,一 个 良好 
的 网 络 和 日 志 系 统 是 必要 的 。 无 论 DDoS 的 防御 向 何 处 发 展 ,这 都 将 是 一 个 社会 工程 ,需要 
IT 界 的 同行 们 来 一 起 关注 ,通力 合作 。 


12.2.6 缓冲 区 溢出 攻击 及 防范 


缓冲 区 是 用 户 为 程序 运行 时 在 计算 机 中 申请 的 一 段 连续 的 内 存 , 它 保存 了 给 定 类 型 的 
数据 。 缓 冲 区 溢出 指 的 是 一 种 常见 且 危 害 很 大 的 系统 攻击 手段 ,通过 向 程序 的 缓冲 区 写 人 
超出 其 长 度 的 内 容 , 造 成 缓冲 区 的 溢出 ,从 而 破坏 程序 的 堆栈 ,使 程序 转 而 执行 其 他 的 指令 ， 
以 达到 攻击 的 目的 。 更 为 严重 的 是 ,缓冲 区 溢出 攻击 占 了 远程 网 络 攻击 的 绝 大 多 数 , 这 种 攻 
击 可 以 使 得 一 个 匿名 的 Internet 用 户 有 机 会 获得 一 台 主 机 的 部 分 或 全 部 的 控制 权 。 由 于 这 
类 攻击 使 任何 人 都 有 可 能 取得 主机 的 控制 权 , 所 以 它 代 表 了 一 类 极其 严重 的 安全 威胁 。 

1. 缓冲 区 溢出 攻击 

缓冲 区 溢出 攻击 的 目的 在 于 扰乱 具有 某 些 特权 运行 的 程序 的 功能 ,这 样 可 以 使 攻击 者 
取得 程序 的 控制 权 , 如 果 该 程序 具有 足够 的 权限 ,那么 整个 主机 就 被 控制 了 。 一 般 而 言 , 攻 
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击 者 攻击 root 程序 ,然后 执行 类 似 exec(sh) 的 执行 代码 来 获得 root 的 shell。 为 了 达到 这 
个 目的 ,攻击 者 必须 达到 两 个 目标 : 一 是 在 程序 的 地 址 空间 里 安排 适当 的 代码 ;二 是 通过 适 
当地 初始 化 寄存 器 和 存储 器 ,让 程序 跳 转 到 事先 安排 的 地 址 空间 执行 。 根 据 这 两 个 目标 ,可 
以 将 缓冲 区 溢出 攻击 分 为 以 下 3 类 。 

1) 在 程序 的 地 址 空间 里 安排 适当 的 代码 

CD 植 和 法。 攻击 者 用 被 攻击 程序 的 缓冲 区 来 存放 攻击 代码 。 攻击 者 向 被 攻击 的 程序 
输入 一 个 字符 串 ,程序 会 把 这 个 字符 串 放 到 缓冲 区 里 。 这 个 字符 串 包含 的 数据 是 可 以 在 这 
个 被 攻击 的 硬件 平台 上 运行 的 指令 序列 。 

(2) 利用 已 经 存在 的 代码 。 有 了 时候, 攻击 者 想 要 的 代码 已 经 在 被 攻击 的 程序 中 了 ,攻击 
者 所 要 做 的 只 是 对 代码 传递 一 些 参数 ,然后 使 程序 跳 转 到 指定 目标 。 例 如 ,在 C 语言 中 , 攻 
击 代 码 要 求 执行 exec("/bin/sh"), 而 在 libe 库 中 的 代码 执行 exec(arg) ,其 中 arg 是 指向 一 
个 字符 串 的 指针 参数 ,那么 攻击 者 只 要 把 传人 的 参数 指针 指向 /bin/sh, 就 可 以 调转 到 libe 
库 中 的 相应 的 指令 序列 。 

2) 控制 程序 转移 到 攻击 代码 

控制 程序 转移 到 攻击 代码 旨 在 改变 程序 的 执行 流程 ,使 之 跳 转 到 攻击 代码 。 最 基本 方 
法 的 就 是 溢出 一 个 没有 边界 检查 或 者 其 他 弱点 的 缓冲 区 ,这 样 就 扰乱 了 程序 的 正常 的 执行 
顺序 。 通 过 溢出 一 个 缓冲 区 ,攻击 者 可 以 用 近乎 暴力 的 方法 改写 相 邻 的 程序 空间 而 直接 跳 
过 系统 的 检查 。 

(1) 激活 记录 (activation records)。 每 当 一 个 函数 调用 发 生 时 ,调用 者 会 在 堆栈 中 留 下 
一 个 激活 记录 , 它 包 含 了 函数 结束 时 返回 的 地 址 。 攻 击 者 通过 溢出 这 些 自 动 变量 ,使 这 个 返 
回 地 址 指向 攻击 代码 。 通 过 改变 程序 的 返回 地 址 , 当 函 数 调 用 结束 时 ,程序 就 跳 转 到 攻击 者 
设 定 的 地 址 ,而 不 是 原先 的 地 址 。 这 类 缓冲 区 溢出 stack smashing attack, 是 目前 常用 的 组 
冲 区 溢出 攻击 方式 。 

(2) 函数 指针 (function pointers), C 语言 中 ,void C* foo)() 声 明了 一 个 返回 值 为 
void 函数 指针 的 变量 foo。 函 数 指针 可 以 用 来 定位 任何 地 址 空间 ,所 以 攻击 者 只 需 在 任何 
空间 内 的 函数 指针 附近 找到 一 个 能 够 溢出 的 缓冲 区 ,然后 溢出 这 个 缓冲 区 来 改变 函数 指针 。 
在 某 一 时 刻 , 当 程序 通过 函数 指针 调用 函数 时 ,程序 的 流程 就 按 攻击 者 的 意图 实现 了 。 它 的 
一 个 攻击 范例 就 是 在 Linux 系统 下 的 super probe 程序 。 

(3) 长 跳 转 缓冲 区 (longjmp buffers) 

在 C 语 言 中 包含 了 一 个 简单 的 检验 /恢复 系统 , 称 为 setjmp/longjmp。 意 思 是 在 检验 
点 设 定 setjmp(buffer) ,用 longjmp(buffer) 来 恢复 检验 点 。 然 而 ,如 果 攻 击 者 能 够 进入 缓冲 
区 的 空间 ,那么 longjmp(buffer) 实 际 上 是 跳 转 到 攻击 者 的 代码 。 像 函数 指针 一 样 ,longjmp 
缓冲 区 能 够 指向 任何 地 方 ,所 以 攻击 者 所 要 做 的 就 是 找到 一 个 可 供 溢出 的 缓冲 区 。 一 个 典 
型 的 例子 就 是 Perl 5. 003, 攻 击 者 首先 进入 用 来 恢复 缓冲 区 溢出 的 longjmp 缓冲 区 ,然后 诱 
导 进 入 恢复 模式 ,这 样 就 使 Perl 的 解释 器 跳 转 到 攻击 代码 上 了 。 

3) 综合 代码 植 人 和 流程 控制 技术 

常见 的 缓冲 区 溢出 攻击 类 型 就 是 在 一 个 字符 串 里 综合 了 代码 植 入 和 激活 记录 。 攻 击 者 
定位 一 个 可 供 溢出 的 自动 变量 ,然后 向 程序 传递 一 个 很 大 的 字符 串 ,在 引发 缓冲 区 溢出 改变 
激活 记录 的 同时 植 人 了 代码 。 这 个 是 由 Levy 指出 的 攻击 的 模板 。 因 为 C 语言 在 习惯 上 只 
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为 用 户 和 参数 开辟 很 小 的 缓冲 区 ,因此 这 种 漏洞 攻击 的 实例 不 在 少数 。 

代码 植 人 和 缓冲 区 溢出 不 一 定 要 在 一 次 动作 内 完成 。 攻 击 者 可 以 在 一 个 缓冲 区 内 放置 
代码 ,这 是 不 能 溢出 缓冲 区 。 然 后 ,攻击 者 通过 溢出 另外 一 个 缓冲 区 来 转移 程序 的 指针 。 这 
种 方法 一 般 用 来 解决 可 供 溢 出 的 缓冲 区 不 够 大 的 情况 。 

如 果 攻 击 者 试图 使 用 已 经 常 驻 的 代码 而 不 是 从 外 部 植 人 代码 ,他 们 通常 会 把 代码 参数 
化 。 举 例 来 说 ,在 libe 中 的 部 分 代码 段 会 执行 命令 exec(something) ,其 中 something 就 是 
参数 。 攻 击 者 然后 使 用 缓冲 区 溢出 改变 程序 的 参数 ,利用 另 一 个 缓冲 区 溢出 使 程序 指针 指 
向 libe 中 的 特定 的 代码 段 。 

2. 缓冲 区 溢出 攻击 的 防范 方法 

目前 主要 有 四 种 基本 的 方法 能 够 保护 缓冲 区 免 受 溢出 攻击 。 

1) 编写 正确 的 代码 

编写 正确 的 代码 是 一 件 非 常 有 意义 但 耗 时 的 工作 ,特别 像 编写 C 语言 那 种 具有 容易 出 
错 倾 向 的 程序 ,错误 是 由 于 追求 性 能 而 忽视 正确 性 的 传统 引起 的 。 尽 管 花 了 很 长 的 时 间 使 
得 人 们 知道 了 如 何 编写 安全 的 程序 ,具有 安全 漏洞 的 程序 依旧 出 现 。 因 此 人 们 开发 了 一 些 
工具 和 技术 来 帮助 经 验 不 足 的 程序 员 编 写 安全 正确 的 程序 。 

最 简单 的 方法 就 是 用 grep 来 搜索 源 代 码 中 容易 产生 漏洞 的 库 的 调用 ,如 对 strcpy 和 
sprint 的 调用 ,这 两 个 函数 都 没有 检查 输入 参数 的 长 度 。 事 实 上 ,各 个 版 本 C 的 标准 库 均 
有 这 样 的 问题 存在 。 

为 了 寻找 一 些 常见 的 诸如 缓冲 区 溢出 和 操作 系统 竞争 条 件 等 漏洞 ,代码 检查 小 组 检查 
了 很 多 的 代码 。 然 而 依然 有 漏网 之 鱼 存在 。 尽 管 采用 了 sntrcpy 和 snprintf 这 些 替代 函数 
来 防止 缓冲 区 溢出 的 发 生 , 但 是 由 于 编写 代码 的 问题 ,仍旧 会 有 这 种 情况 发 生 。 例 如 lprm 
程序 就 是 最 好 的 例子 ,虽然 它 通 过 了 代码 的 安全 检查 ,但 仍然 有 缓冲 区 溢出 的 问题 存在 。 

虽然 这 些 工具 帮助 程序 员 开 发 更 安全 的 程序 ,但 是 由 于 C 语言 的 特点 ,这 些 工具 不 可 
能 找 出 所 有 的 缓冲 区 溢出 漏洞 。 所 以 , 侦 错 技术 只 能 用 来 减少 缓冲 区 溢出 的 可 能 ,并 不 能 完 
全 地 消除 它 的 存在 。 除 非 程序 员 能 保证 他 的 程序 万 无 一 失 ,否则 还 是 要 用 到 以 下 的 内 容 来 
保证 程序 的 可 靠 性 能 。 

2) 非 执行 的 缓冲 区 

通过 使 被 攻击 程序 的 数据 段 地 址 空间 不 可 执行 ,从 而 使 得 攻击 者 不 可 能 执行 植 入 被 攻 
击 程序 输入 缓冲 区 的 代码 ,这 种 技术 被 称 为 非 执行 的 缓冲 区 技术 。 事 实 上 ,很 多 老 的 UNIX 
系统 都 是 这 样 设计 的 ,但 是 近来 的 UNIX 和 MS Windows 系统 由 于 实现 更 好 的 性 能 和 功 
能 ,往往 在 数据 段 中 动态 地 放 入 可 执行 的 代码 。 所 以 为 了 保持 程序 的 兼容 性 ,不 可 能 使 所 有 
程序 的 数据 段 不 可 执行 。 

3) 数组 边界 检查 

不 像 非 执行 缓冲 区 保护 ,数组 边界 检查 完全 放置 了 缓冲 区 溢出 的 产生 和 攻击 。 这 样 , 只 
要 数组 不 能 被 溢出 ,溢出 攻击 也 就 无 从 谈 起 。 为 了 实现 数组 边界 检查 , 则 所 有 的 对 数组 的 读 
写 操作 都 应 当 被 检查 以 确保 对 数组 的 操作 在 正确 的 范围 内 。 最 直接 的 方法 是 检查 所 有 的 数 
组 操作 ,但 是 通常 可 以 采用 一 些 优化 的 技术 来 减少 检查 的 次 数 。 

4) 程序 指针 完整 性 检查 

程序 指针 完整 性 检查 和 边界 检查 略微 不 同 。 与 防止 程序 指针 被 改变 不 同 , 程 序 指针 完 
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整 性 检查 在 程序 指针 被 引用 之 前 检测 到 它 的 改变 。 因 此 ,即便 一 个 攻击 者 成 功 地 改变 了 程 
序 的 指针 ,由 于 系统 事先 检测 到 了 指针 的 改变 ,因此 这 个 指针 将 不 会 被 使 用 。 

与 数组 边界 检查 相 比 ,这 种 方法 不 能 解决 所 有 的 缓冲 区 溢出 问题 ;采用 其 他 的 缓冲 区 洲 
出 方法 就 可 以 避免 这 种 检测 。 但 是 这 种 方法 在 性 能 上 有 很 大 的 优势 ,而 且 兼 容 性 也 很 好 。 


12.2.7 木马 技术 及 防范 


1. 木马 的 实现 技术 
1) 木马 的 常用 启动 方式 
对 于 一 般 的 应 用 程序 来 说 通常 有 下 面 的 几 种 自 启动 方式 : 
。 把 程序 放 入 系统 的 启动 目录 中 .注意 在 Windows 中 有 两 个 自 启动 目录 。 
。 把 程序 的 自 启动 设置 到 系统 配置 文件 中 ,如 win. ini、system. ini 等 中 。 
。 在 注册 表 中 进行 配置 实现 程序 的 自动 启动 。 
。 把 程序 注册 为 系统 服务 。 
。 替换 系统 文件 (该 方法 在 目前 的 Windows 2000 及 以 后 的 操作 系统 中 已 经 基本 
失效 ) 。 
木马 为 了 达到 隐藏 自己 的 目标 ,通常 在 设置 注册 表 启 动 项 时 具有 很 强 的 迷惑 性 ,有 些 木 
马 还 可 以 随机 更 改 有 关 的 启动 项 。 
2) 木马 的 隐蔽 性 
木马 的 隐蔽 性 是 木马 能 否 长 期 存活 的 关键 ,这 主要 包括 几 方 面 的 内 容 : 
(1) 木马 程序 本 身 的 隐蔽 性 、 迷 惑 性 。 
在 文件 名 的 命名 上 采用 和 系统 文件 的 文件 名 相似 的 文件 名 ,设置 文件 的 属性 为 系统 文 
TE .隐藏 .只 读 属性 等 ,文件 的 存放 地 点 是 不 常用 或 难以 发 现 的 系统 文件 目录 中 。 
(2) 木马 程序 在 运行 时 的 隐蔽 性 。 
通常 采用 了 远程 线程 技术 或 HOOK 技术 注入 其 他 进程 的 运行 空间 ,采用 API HOOK 
技术 拦截 有 关系 统 函 数 的 调用 实现 运行 时 的 隐藏 ,替换 系统 服务 等 方法 导致 无 法 发 现 木 马 
的 运行 痕迹 。 
(3) 木马 在 通信 上 的 隐蔽 性 。 
可 以 采用 端口 复 用 技术 不 打开 新 的 通信 端口 实现 通信 、 采 用 ICMP 协议 等 无 端口 的 协 
议 进行 通信 ,还 有 些 木马 平时 只 有 收 到 特定 的 数据 包 才 开始 活动 ,平时 处 于 休眠 状态 。 
(4) 不 安全 的 木马 技术 。 
具 资 料 显示 有 些 木马 在 运行 时 能 够 删除 自身 启动 运行 及 存在 的 痕迹 , 当 检测 到 操作 系 
统 重新 启动 时 再 重新 在 系统 中 设置 需要 启动 自身 的 参数 ,这 类 木马 存在 的 问题 : 不 安全 , 当 
系统 失效 时 (如 断 电 、 死 机 时 ) 无 法 再 次 恢复 运行 。 
2. 木马 的 发 现 及 清除 
1) 木马 的 发 现 
可 以 查看 系统 端口 开放 情况 ,查看 系统 服务 情况 ,查看 系统 运行 任务 是 否 有 可 疑 之 处 ， 
注意 网 卡 的 工作 情况 ,注意 系统 日 志 及 运行 速度 有 无 异常 。 
2) 木马 的 清除 
通常 可 以 使 用 杀毒 软件 进行 清除 木马 .也 可 以 采用 手工 的 方法 来 进行 清除 ,但 是 对 有 些 
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木马 采用 手工 清除 的 方法 可 能 会 存在 一 些 困 难 , 主 要 时 因为 : 

(1) 有 些 木 马 采 用 了 多 进程 相互 监视 技术 来 启动 被 关闭 的 进程 ,很 多 关键 性 应 用 中 使 
用 了 该 技术 ,如 InterBase 数据 库 等 。 

(2) 有 些 木 马 使 用 任务 管理 器 无 法 停止 运行 ,导致 无 法 删除 。 

(3) 有 些 木 马 运 行 在 其 他 的 进程 空间 中 无 法 在 任务 管理 器 中 发 现 及 停止 。 

对 于 上 述 几 种 情况 在 一 定 程度 上 可 以 采用 修改 注册 表 , 使 用 第 三 方 的 一 些 任 务 管理 器 
来 停止 任务 ,重新 启动 进入 命令 行 模式 来 手工 清除 木马 ,使 用 一 些 专 杀 工 具 来 清除 木马 。 


12.3 应 用 实例 


12.3.1 个 人 计算 机 防 黑 技术 


1. 密码 安全 

不 要 使 用 简单 的 密码 。 不 要 简单 地 用 生日 ,单词 或 电话 号 码 作 为 密码 ,密码 的 长 度 至 少 
要 8 个 字符 以 上 ,包含 数字 大、 小 写字 母 和 键盘 上 的 其 他 字符 混合 。 对 于 不 同 的 网 站 和 程 
序 , 要 使 用 不 同 口 令 , 以 防止 被 黑客 破译 。 不 要 将 ID 和 密码 记录 存放 在 上 网 的 计算 机 里 。 
不 要 为 了 下 次 登录 方便 而 保存 密码 ,要 经 常 更 改 密码 和 不 要 向 任何 人 透露 您 的 密码 。 

2. 电子 邮件 安全 

不 要 轻易 打开 电子 邮件 中 的 附件 ,更 不 要 轻易 运行 邮件 附件 中 的 程序 ,除非 你 知道 信息 
的 来 源 。 要 时 刻 保持 警惕 性 ,不 要 轻易 相信 熟人 发 来 的 E-mail 就 一 定 没有 黑客 程序 ,不 要 
在 网 络 上 随意 公布 或 者 留 下 您 的 电子 邮件 地 址 ,去 转 信 站 申请 一 个 转 信 信 箱 , 因 为 只 有 它 是 
不 怕 炸 的 。 在 E-mail 客户 端 软件 中 限制 邮件 大 小 和 过 滤 垃 圾 邮件 ;使 用 远程 登录 的 方式 来 
预览 邮件 ;最 好 申请 数字 签名 ;对 于 邮件 附件 要 先 用 防 病 毒 软件 和 专业 清除 木马 的 工具 进行 
扫描 后 方 可 使 用 。 

3. IE 的 安全 

对 于 使 用 公共 机 器 上 网 的 网 民 , 一 定 要 注意 IE 的 安全 性 。 因 为 DE 的 自动 完成 功能 在 
给 用 户 填 写 表 单 和 输入 Web 地 址 带 来 一 定 便利 的 同时 ,也 给 用 户 带 来 了 潜在 的 泄密 危险 ， 
最 好 禁用 IE 的 自动 完成 功能 。IE 的 历史 记录 中 保存 了 用 户 已 经 访问 过 的 所 有 页 面 的 链 
接 ,在 离开 之 前 一 定 要 清除 历史 记录 ;另外 TE 的 临时 文件 夹 (Windows Temporary Internet 
Files) 内 保存 了 用 户 已 经 浏览 过 的 网 页 ,通过 IE 的 脱 机 浏览 特性 或 者 是 其 他 第 三 方 的 离线 
浏览 软件 ,其 他 用 户 能 够 轻松 地 翻阅 你 浏览 的 内 容 , 所 以 离开 之 前 也 需 删 除 该 路 径 下 的 文 
件 。 还 要 使 用 具有 对 Cookie 程序 控制 权 的 安全 程序 ,因为 Cookie 程序 会 把 信息 传送 回 网 
站 ,当然 安装 个 人 防火 墙 也 可 对 Cookie 的 使 用 进行 禁止 .提示 或 启用 。 

4. 聊天 软件 的 安全 

在 使 用 聊天 软件 的 时 候 , 最 好 设置 为 隐 茂 用户, 以免 别 有 用 心 者 使 用 一 些 专 用 软件 查看 
到 你 的 IP 地 址 ,然后 采用 一 些 针对 IP 地 址 的 黑客 工具 对 你 进行 攻击 。 在 聊天 室 的 时 候 , 还 
要 预防 Java 炸弹 ,攻击 者 通常 发 送 一 些 带 恶意 代码 的 HTML 语句 使 用 户 的 计算 机 打开 无 
数 个 窗口 或 显示 巨型 图 片 ,最 终 导 致死 机 。 禁 止 Java 脚本 的 运行 和 显示 图 像 功能 就 可 以 避 
免 遭 到 攻击 ,但 也 使 用 户 没 法 访问 一 些 交互 式 网 页 .这 需要 用 户 权衡 。 
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5. 防止 特洛伊 木马 安全 

不 要 轻易 安装 和 运行 从 那些 不 知名 的 网 站 (特别 是 不 可 靠 的 FTP 站点) 下载 的 软件 和 
来 历 不 明 的 软件 。 有 些 程序 可 能 是 木马 程序 ,用 户 一 旦 安装 了 这 些 程 序 , 它 们 就 会 在 用 户 不 
知情 的 情况 下 更 改 用 户 的 系统 或 者 连接 到 远程 的 服务 器 。 这 样 ,黑客 就 可 以 很 容易 地 进入 
用 户 的 计算 机 。 

6. 定期 升级 系统 

很 多 常用 的 程序 和 操作 系统 的 内 核 都 会 发 现 漏洞 , 某 些 漏 洞 会 让 入 侵 者 很 容易 进入 到 
用 户 的 系统 ,这 些 漏洞 会 以 很 快 的 速度 在 黑客 中 传 开 。 如 近期 流传 极 广 的 尼 姆 达 病 毒 就 是 
针对 微软 信件 浏览 器 的 弱点 和 Windows NT/2000 IIS 的 漏洞 而 编写 出 的 一 种 传播 能 力 很 
强 的 病毒 。 因 此 ,用 户 一 定 要 小 心 防 范 。 软 件 的 开发 商会 把 补丁 公布 ,以 便 用 户 补救 这 些 漏 
洞 。 建 议 用 户 订阅 关于 这 些 漏洞 的 邮件 列表 ,以 便 及 时 知道 这 些 漏洞 后 打上 补丁 ,以 防 黑 客 
攻击 。 当 然 最 好 使 用 最 新 版 本 的 浏览 器 软件 .电子 邮件 软件 以 及 其 他 程序 ,但 不 要 是 测试 
版 本 。 

7. 安装 防火 墙 

不 要 在 没有 防火 墙 的 情况 下 上 网 冲浪 。 如 果 使 用 的 是 宽带 连接 ,例如 ADSL 或 者 光 
纤 , 用 户 就 会 在 任何 时 候 都 连 在 Internet 上 ,这 样 的 用 户 就 很 有 可 能 成 为 那些 闹 着 玩 的 黑客 
的 目标 。 最 好 在 不 需要 的 时 候 断 开 连 接 , 还 可 以 在 计算 机 上 装 上 防 黑客 的 防火 墙 一 一 一 种 
反 和 人 侵 的 程序 作为 用 户 的 计算 机 的 门卫 ,以 监视 数据 流动 或 是 断 开 网 络 连接 。 

8. 禁止 文件 共享 

局 域 网 里 的 用 户 喜欢 将 自己 的 计算 机 设置 为 文件 共享 ,以便 相互 之 间 资 源 共 享 ,但 是 如 
果 设 了 共享 的 话 ,就 为 黑客 留 了 后 门 ,他 们 就 有 机 会 进入 用 户 的 计算 机 偷 看 文件 ,甚至 搞 些 
小 破坏 。 建 议 在 非 设 共享 不 可 的 情况 下 ,最 好 为 共享 文件 夹 设置 一 个 密码 。 


12.3.2 配置 IS 蜜 缸 抵御 黑客 攻击 


1. fA EE 

SE E SEA — T [LT E E RSTETEBLAR Bc. HUGE B3 Heu T UR SIE AE 
AEA HAA TESEDLAR BERTI E. SEES — T FCIE RO SERE HP s 2E CS SEHE AR. e HL 
少 要求 用 户 做 到 三 条 ,一 是 安装 一 个 不 打 补丁 的 操作 系统 ,并且 需要 使 用 默认 配置 ;二 是 要 
保证 系统 上 没有 任何 数据 ;三 是 添加 一 个 设计 目的 是 记载 入侵 者 活动 的 应 用 程序 。 

在 VIS 中 配置 蜜 缸 并 不 是 一 件 很 复杂 的 事情 ,但 它 却 可 有 助 于 极 大 地 减少 对 TIS 服务 器 
的 攻击 。 严 格 意义 上 讲 , 本 书 所 述 的 并 非 一 个 真正 的 蜜 饶 ,因为 一 个 真正 的 蜜 饶 是 一 个 拥有 
许多 漏洞 且 故 意 暴露 在 互联 网 上 的 主机 ,这 里 所 讨论 的 只 不 过 是 一 个 数据 通信 的 转向 器 而 
已 。 使 用 HTTP 主机 的 头 信 息 ,完全 可 以 将 攻击 者 的 通信 转向 一 个 并 不 存在 的 站 点 上 。 

黑客 们 会 使 用 端口 扫描 器 来 查找 那些 开放 着 80 号 端口 的 IP 地 址 ,并 对 这 些 端口 实施 
其 攻击 和 侵入 的 企图 。 另 外 一 方面 .网 站 的 终端 用 户 会 使 用 域名 来 访问 站 点 ,因此 我 们 的 措 
施 并 不 会 影响 这 些 普 通用 户 。 通 过 启用 网 站 上 的 主机 头 名 并 将 IP. 企图 重新 转向 ,就 可 以 跟 
踪 和 记录 黑客 来 自 何方 .同时 又 保持 了 对 终端 用 户 的 可 用 人性。 

2. gx —^ EE 

我 们 需要 做 的 第 一 件 事情 就 是 要 在 Web 服务 器 上 建立 一 个 空 的 目录 。 其 名 称 与 位 置 
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没有 什么 关系 ,对 于 本 例 而 言 ,创建 了 一 个 称 为 Honeypot 的 目录 , 它 位 于 C:\Inetpub\ 
wwwroot 的 目录 下 。 启 动 IIS 管理 程序 ,并 为 所 有 的 站 点 分 配 一 个 主机 头 名 ,这 样 每 一 台 
虚拟 服务 器 都 有 一 个 带 有 IP 地 址 的 主机 头 名 。 

这 里 要 保证 虚拟 服务 器 不 能 与 无 主机 头 名 的 80 号 端口 上 的 IP 地 址 有 映射 关系 ,并 保 
证 服务 器 不 能 拥有 “全 部 未 分 配 的 ”IP 寻 地 址 。 并 保障 主机 的 头 信息 正确 设置 ,用 户 仍 可 以 
访问 所 有 的 站 点 。 

然后 ,再 创建 一 个 新 的 网 站 指向 刚才 创建 的 目录 。 这 个 蜜 铅 网 站 应 当 指 定 所 有 未 分 配 
的 IP 地 址 ,并 且 不 能 配置 主机 的 头 信息 。 虽 然 这 个 站 点 的 名 称 叫 honeypot, 但 这 并 不 影响 
黑客 对 它 的 访问 。 进 入 这 个 新 网 站 的 属性 设置 界面 ,选择 “目录 安全 "选项 卡 ,并 选中 “集成 
Windows 身份 验证 ”, 取 消 选择 其 他 的 认证 方法 ,然后 单 击 “ 确 定 ” 按 钮 。 

接着 ,选择 网 站 选项 卡 , 并 单 击 “ 高 级 ”, 单 击 “ 多 网 站 配置 "下 的 “添加 ”按钮 ,并 添加 所 有 
的 IP 地址 。 如 果 你 收 到 了 一 个 关于 TP 地 址 冲突 的 错误 消息 ,不要紧 ,这 表明 你 没有 为 此 网 
站 设置 主机 头 名 。 你 需要 做 的 是 将 TP 地 址 从 列表 中 清除 ,或 为 此 网 站 配置 一 个 主机 头 名 。 

3. 保存 所 有 的 更 改 , 然 后 退出 Internet 信息 服务 

保存 所 有 的 更 改 , 然 后 退出 Internet 信息 服务 ,这样 , 当 一 个 恶意 用 户 通过 IP 地 址 来 访 
问 网 站 时 ,他 就 会 被 发 送 至 空 目录 ,并 得 到 一 个 403 错误 。 而 通过 DNS 域名 来 访问 网 站 的 
用 户 由 于 有 主机 的 头 信息 ,就 能 够 访问 网 站 的 内 容 。 

这 样 做 并 不 是 绝对 的 安全 ,因为 黑客 们 仍 会 试图 通过 域名 来 访问 网 站 ,不 过 其 多 数 攻击 
都 被 发 送 到 了 IP 地 址 。 使 用 主机 的 头 信息 会 改善 Web 服务 器 的 性 能 ,这 是 因为 WWW 服 
务 没有 必要 为 使 用 独立 IP 地 址 的 网 站 分 配 非 页 式 内 存 池 。 


思考 题 


. 什么 是 黑客 ? 

- 什么 是 网 络 欺骗 ? 

. 简 述 嗅 探 技 术 原 理 。 

简 述 口令 破解 防范 方法 。 
. 什么 是 拒绝 服务 攻击 ? 

. 如 何 防范 缓冲 区 溢出 攻击 。 
. 什么 是 木马 ? 


0 0) Q t — 
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13.1 基本 概念 


13.1.1 网 络 安全 解决 方案 的 层次 划分 


从 层次 体系 上 ,可 以 将 网 络 安全 分 成 四 个 层次 上 的 安全 ， 

。 物理 安全 ; 

。 逻辑 安全 ; 

。 操作 系统 安全 ; 

。 联网 安全 。 

1. 物理 安全 

CD 防盗 : 像 其 他 的 物体 一 样 ,计算 机 也 是 偷窃 者 的 目标 ,例如 盗 走 软盘 、 主 板 等 。 计 
算 机 偷窃 行为 所 造成 的 损失 可 能 远 远 超过 计算 机 本 身 的 价值 ,因此 必须 采取 严格 的 防范 措 
施 , 以 确保 计算 机 设备 不 会 丢失 。 

(2) 防火 : 计算 机 机 房 发 生火 灾 一 般 是 由 于 电气 原因 、 人 为 事故 或 外 部 火灾 蔓延 引起 
的 。 电 气 设备 和 线路 因为 短路 .过载 .接触 不 良 、 绝 缘 层 破坏 或 静电 等 原因 引起 电 打 火 而 导 
致 火灾 。 

人 为 事故 是 指 由 于 操作 人 员 不 慎 , 吸 烟 、 乱 扔 烟头 等 ,使 存在 易 燃 物质 (如 纸 片 .磁带 、 胶 
片 等 ) 的 机 房 起 火 ,当然 也 不 排除 人 为 故意 放火 。 外 部 火灾 营 延 是 因 外 部 房间 或 其 他 建筑 物 
起 火 而 蔓延 到 机 房 而 引起 火灾 。 

G) 防 静 电 : 静电 是 由 物体 间 的 相互 摩擦 ,接触 而 产生 的 ,计算 机 显示 器 也 会 产生 很 强 
的 静电 。 静 电 产 生 后 ,由 于 未 能 释放 而 保留 在 物体 内 ,会 有 很 高 的 电位 (能 量 不 大 ) ,从 而 产 
生 静 电 放 电 火 花 , 造 成 火灾 。 

静电 还 可 能 使 大 规模 集成 电器 损坏 ,这 种 损坏 可 能 在 不 知 不 觉 中 发 生 。 

(4) 防 雷 : 利用 引 雷 机 理 的 传统 避雷 针 防 雷 , 不 但 增加 雷击 概率 ,而 且 产生 感应 雷 ,而 
感应 雷 是 电子 信息 设备 被 损坏 的 主要 杀手 .也 是 易 燃 易 爆 品 被 引 燃 起 爆 的 主要 原因 。 

雷击 防范 的 主要 措施 是 ,根据 电气 、 微 电子 设备 的 不 同 功 能 及 不 同 受 保护 程序 和 所 属 保 
护 层 确定 防护 要 点 作 分 类 保护 。 

对 于 雷电 和 操作 瞬间 过 电压 危害 的 可 能 通道 ,从 电源 线 到 数据 通信 线路 都 应 做 多 层 
保护 。 

G) 防 电磁 泄漏 : 电子 计算 机 和 其 他 电子 设备 一 样 , 工 作 时 要 产生 电磁 发 射 。 

电磁 发 射 包括 辐射 发 射 和 传导 发 射 。 

这 两 种 电磁 发 射 可 被 高 灵敏 度 的 接收 设备 接收 并 进行 分 析 、` 还 原 , 造 成 计算 机 的 信息 
泄露 。 

屏蔽 是 防 电磁 泄漏 的 有 效 措施 ,屏蔽 主要 有 电 屏 项 、 磁 屏蔽 和 电磁 屏蔽 三 种 类 型 。 
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2. 逻辑 安全 

计算 机 的 逻辑 安全 需要 用 口令 、 文 件 许 可 等 方法 来 实现 。 

可 以 限制 登录 的 次 数 或 对 试探 操作 加 上 时 间 限 制 ;可 以 用 软件 来 保护 存储 在 计算 机 文 
件 中 的 信息 ;限制 存 取 的 另 一 种 方式 是 通过 硬件 完成 ,在 接收 到 存 取 要 求 后 , 先 询问 并 校 核 
口令 ,然后 访问 列 于 目录 中 的 授权 用 户 标 志 号 。 

此 外 ,有 一 些 安全 软件 包 也 可 以 跟踪 可 疑 的 、 未 授权 的 存 取 企图 ,例如 ,多 次 登录 或 请 求 
别人 的 文件 。 

3. 操作 系统 安全 

操作 系统 是 计算 机 中 最 基本 、 最 重要 的 软件 。 

同一 计算 机 可 以 安装 几 种 不 同 的 操作 系统 。 

如 果 计 算 机 系统 可 提供 给 许多 人 使 用 ,操作 系统 必须 能 区 分 用 户 , 以 便于 防止 相互 
干扰 。 

一 些 安全 性 较 高 ,功能 较 强 的 操作 系统 可 以 为 计算 机 的 每 一 位 用 户 分 配 账户 。 

通常 ,一 个 用 户 一 个 账户 。 操 作 系 统 不 允许 一 个 用 户 修改 由 另 一 个 账户 产生 的 数据 。 

4. 联网 安全 

联网 的 安全 性 通过 两 方面 的 安全 服务 来 达到 ; 

CD 访问 控制 服务 : 用 来 保护 计算 机 和 联网 资源 不 被 非 授 权 使 用 。 

(2) 通信 安全 服务 : 用 来 认证 数据 机 要 性 与 完整 性 ,以 及 各 通信 的 可 信赖 性 。 


13.1.2 网 络 安全 解决 方案 的 框架 


总 体 上 说 ,一 份 安全 解决 方案 的 框架 涉及 6 大 方面 ,可 以 根据 用 户 的 实际 需求 取舍 其 中 
的 某 些 方面 。 

(1) 概要 安全 风险 分 析 ; 

(2) 实际 安全 风险 分 析 ; 

(3) 网 络 系统 的 安全 原则 ; 

(4) 安全 产品 ; 

G) 风险 评估 ; 

(6) 安全 服务 。 


13.2 网 络 安全 解决 方案 设计 


13.2.1 网 络 系统 状况 分 析 


1. 网 络 系统 性 能 分 析 与 研究 的 指标 

所 谓 网 络 系统 的 性 能 分 析 评 价 , 是 对 制定 的 一 个 网 络 系统 或 一 类 网 络 系统 求 出 其 性 能 
指标 的 方法 。 例 如 ,网 络 安全 设备 是 网 络 的 一 个 组 成 部 分 ,对 其 性 能 的 分 析 评价 完全 可 以 参 
照 对 网 络 的 性 能 分 析 评 价 方法 来 进行 ,所 以 在 进行 网 络 系统 性 能 分 析 与 研究 时 ,要 将 网 络 合 
可 分 ,分 可 合 。 

一 般 评 价 一 个 网 络 系统 性 能 好 坏 的 技术 包括 吞吐 量 、 报 文平 均 延 迟 时 间 、 系 统 的 平均 响 
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应 时 间 、 系 统 的 报 文平 均 队长 .最 大 工作 站 数 、 网 络 吞 吐 量 的 最 大 距离 和 可 靠 性 等 。 从 应 用 
系统 的 设计 和 网 络 系统 的 维护 .管理 角度 来 看 ,用 户 关 心 的 技术 指标 是 : 网 络 吞 吐 率 (S) 、 介 
质 利用 率 (U) 和 延迟 时 间 (D) 。 

(1) 网 络 吞 吐 率 (有 时 也 称 为 吞吐 量 ) 是 指 单位 时 间 内 通信 信道 的 信息 量 , 或 一 定时 间 
内 某 台 计算 机 或 设备 所 能 完成 的 通信 和 总 量 , 亦 称 通过 量 。 这 是 一 个 广义 的 解释 ,实际 上 在 不 
同 的 应 用 场合 ,吞吐 量 的 计算 方法 和 具体 含义 不 尽 一 致 。 

(2) 介质 利用 率 表示 信道 传送 信息 的 时 间 与 信道 总 可 用 时 间 之 比 。 这 里 的 时 间 不 包括 
传输 冲突 .调节 周期 等 各 种 形式 的 花费 。 

C3) 延迟 时 间 是 指 网 络 发 收 的 一 个 完整 报 文 或 一 段 信息 的 时 间 , 即 特 指 某 个 报 文 的 延 
迟 。 一 般 网 络 的 延迟 都 是 指 其 统计 平均 值 ,这 个 值 随 网 络 系统 的 负载 变化 而 变化 ,而 延迟 对 
负载 率 的 变化 可 以 说 明 某 个 网 络 延迟 性 能 的 好 坏 。 

但 在 讨论 和 评价 网 络 系统 性 能 好 坏 时 最 重要 的 两 个 技术 指标 应 该 是 网 络 吞吐 量 和 延迟 
时 间 。 

2. 网 络 系统 性 能 分 析 与 研究 的 一 般 方 法 

性 能 分 析 评 价 方法 有 多 种 ,包括 物理 模型 法 ,理论 分 析 法 ,程序 模拟 法 、 综 合 分 析 法 等 。 


13.2.2 网 络 安全 需求 分 析 


网 络 安全 需求 分 析 主 要 考虑 下 列 5 个 方面 。 
(1) 主要 网 络 安全 威胁 ; 

(2) 来 自 外 部 网 络 与 内 部 网 络 的 安全 威胁 ; 
(3) 来 自 外 部 网 络 的 安全 威胁 ; 

(4) 来 自 内 部 网 络 的 安全 威胁 ; 

(5) 网 络 安 全 现状 。 


13.2.3 网络 安全 解决 方案 


一 个 完整 的 网 络 安全 解决 方案 应 综合 考虑 下 述 内 容 。 
1. 概述 

。 背景 ， 

。 目的 ; 

。 GEB. 

。 工作 方法 。 

2. 信息 系统 网 络 安全 简 析 

。 系统 结构 ; 

。 系统 功能 ; 

“系统 用 户 。 

3. 信息 系统 网 络 安全 环境 

息 系统 网 络 安全 现状 ; 

。 信息 系统 网 络 安 全 威胁 ; 

\ 系 统 网 络 安全 存在 的 脆弱 性 ; 
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* 信息 系统 网 络 安全 风险 分 析 。 
4. 信息 系统 安全 目标 

。 最 高 层 安全 目标 ; 

。 具体 安全 目标 ; 

。 系统 安全 目标 ; 

。 环境 安全 目标 。 

5. 信息 系统 网 络 安全 规划 

。 总 体 规划 概述 ; 

* 整体 网 络 安全 体系 建设 规划 ; 
* 网 络 体系 安全 规划 内 容 ; 

。 交换 网 络 安全 的 加 固 ; 

。 各 边界 安全 的 完善 ; 

。 终端 集中 管理 ; 

* 动态 口令 双 因素 身份 认证 系统 ; 
。 物理 安全 体系 建设 ; 

。 应 用 体系 安全 规划 内 容 ; 

* 业务 数据 存储 

。 业务 系统 漏洞 加 固 ， 

。 系统 行为 及 日 志 审计 ; 

。 建设 业务 开发 测试 环境 ; 

。 管理 体系 安全 规划 内 容 ; 

。 组 织 体系 建设 建议 ; 

。 管理 体系 建设 建议 。 

6. 安全 规划 效果 


13.3 网络 安全 解决 方案 实例 


13.3.1 某 银行 系统 网 络 安全 方案 


1. 银行 网 络 现状 

目前 我 国 银行 网 络 通常 以 总 行为 中 心 , 各 地 分 .支行 通过 电信 的 帧 中 继 线路 或 DDN 与 
总 行进 行 连接 。 银 行 主要 应 用 有 : 储蓄 、 对 公 、 人 信用卡、 储蓄 卡 、IC 卡 、 国 际 业 务 . 电 子 汇兑、 
电子 邮件 .电子 公文 .新 的 综合 对 公 业 务 .国际 业务 信贷 系统 等 。 同 时 各 地 分 支行 又 根据 业 
务 发 展 情况 ,通过 DDN 专线 连接 到 其 他 行业 领域 ,并 陆续 开办 了 网 上 银行 、 银 证 转 券 及 各 
种 代 收 业务 ,如 电话 费 . 电 费 等 。 

目前 的 安全 措施 主要 有 : 依靠 操作 系统 的 身份 认证 功能 ,通过 划分 VLAN 的 方式 隔离 
网 络 ,以 及 防 病毒 和 定期 磁带 数据 备份 等 。 以 上 这 些 已 经 不 适应 现代 金融 系统 的 安全 需求 。 

目前 银行 网 络 系统 常用 的 操作 系统 有 UNIX, Windows NT 等 ,安全 等 级 都 是 C2 级 ,可 
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以 说 是 相对 安全 、 严 密 的 系统 ,但 并 非 无 懈 可 击 。 许 多 银行 业务 系统 使 用 UNIX 网 络 系统 ， 
黑客 可 利用 网 络 监 听 工 具 截 取 重 要 数据 ; 利用 用 户 使 用 Telnet, Ftp, rlogin 等 服务 时 监听 
这 些 用 户 的 明文 形式 的 账户 名 和 口令 ; 利用 具有 suid 权限 的 系统 软件 的 安全 漏洞 ;利用 
UNIX 平台 提供 的 工具 ,如 finger 命令 查找 有 关 用 户 的 信息 ,获得 大 部 分 的 用 户 名 ;利用 TP 
欺骗 技术 ;利用 exrc 文件 等 获得 对 系统 的 控制 权 。 连 接 到 骨干 网 络 的 路 由 器 、 交 换 机 设备 
等 ,由 于 简单 的 口令 设置 ,及 某 些 路 由 协议 存在 的 漏洞 ,造成 整个 网 络 的 不 安全 。 划 分 
VLAN ,并 不 能 保证 防范 内 部 的 恶意 员工 的 破坏 。 与 外 界 连接 ,无 法 防范 各 种 黑客 利用 各 种 
手段 对 内 部 网 络 的 攻击 ,如 DDoS 攻击 ,及 IP 欺骗 攻击 等 。 
2. 安全 解决 方案 
对 于 银行 网 络 系统 的 全 面 解决 方案 包括 物理 安全 、 系 统 安全 、 网 络 安 全 ,应 用 安全 信息 
安全 及 管理 安全 等 各 个 方面 。 
保证 计算 机 信息 系统 各 种 设备 的 物理 安全 是 保障 整个 网 络 系统 安全 的 前 提 。 物 理 安全 
是 保护 计算 机 网 络 设备 .设施 以 及 其 他 媒体 免 草 地震. 水 灾 、 火 灾 、 雷 击 等 自然 灾害 ,人 为 的 
破坏 或 误 操作 失误 及 各 种 计算 机 犯罪 行为 导致 的 破坏 过 程 。 
1) 操作 系统 安全 
针对 UNIX 系统 ,可 采取 以 下 措施 : 
。 将 系统 的 安全 级 别 设置 为 最 高 ,停止 不 必要 的 服务 ,该 关 的 功能 关闭 。 
。 加 强 账 号 和 口令 的 安全 管理 ,定期 检查 /etc/passwd 和 /etc/shadow 文件 ,经 常 更 换 
各 账号 口令 ,查看 su 日志 文件 和 拒绝 登录 消息 日 志文 件 。 
。 及 时 安装 补丁 程序 。 
对 于 Windows NT 网 络 系统 ,可 采取 以 下 措施 : 
* EH NTFS 文件 系统 , 它 可 以 对 文件 和 目录 使 用 ACL 存 取 控 制 表 。 
。 系统 管理 员 账 号 由 原先 的 “Administrator” 改 名 ,使 非法 登录 用 户 不 但 要 猪 准 口 邻 ， 
还 要 先 猜 出 用 户 名 。 
。 对 于 提供 Internet 公共 服务 的 计算 机 ,废止 Guest 账号 , 移 走 或 限制 所 有 的 其 他 用 
户 账号 。 
。 开启 审计 系统 ,审计 各 种 操作 成 功 和 失败 的 情况 ,及 时 发 现 问题 前 兆 , 定 期 备份 日 志 
文件 。 
。 及 时 安装 补丁 程序 。 
与 此 同时 ,利用 相应 的 扫描 软件 对 其 进行 安全 性 扫描 评估 、 检 测 其 存在 的 安全 漏洞 ,分 
析 系 统 的 安全 性 ,提出 补救 措施 。 最 后 对 管理 人 员 应 加 强身 份 认 证 机 制 及 认证 强度 。 建 议 
使 用 增强 身份 验证 系统 ,如 基于 令 牌 的 一 次 性 口令 认证 系统 等 。 
2) 应 用 系统 安全 
应 用 系统 通常 包括 数据 库 系统 及 专 为 某 些 应 用 开发 的 系统 。 对 于 数据 库 系统 的 安全 ， 
通常 需要 注意 以 下 方面 : 
。 用 户 分 类 : 不 同类 型 的 用 户 应 该 授予 不 同 的 数据 库 访 问 ; 
。 管理 权限 : 比如 数据 库 系统 登录 权限 、 资 源 管理 权限 、 数 据 库 管理 员 权 限 、 远 程 访问 
权限 等 ; 
。 数据 分 类 : 对 每 类 用 户 他 能 够 使 用 的 数据 库 是 不 同 的 ,要 进行 数据 库 分 类 。 不 同 的 


332 


第 13 章 网络 安全 解决 方案 


用 户 访问 不 同 的 数据 库 系 统 ; 


* 审计 功能 : DBMS 提供 审计 功能 对 维护 数据 库 的 安全 是 十 分 重要 的 , 它 用 来 监视 各 


用 户 对 数据 库 施 加 的 动作 。 
典型 的 银行 系统 网 络 安全 解决 方案 的 示意 图 如 图 13-1 所 示 。 


vk < 全 


网 上 银行 主机 ”数据库 


防火 墙 fIDS 
É 


银行 CA pi Web 服 务 器 
银行 CA 前 置 机 [Is B 2 . 


支付 网 关 | 国 


[1 1t 


图 13-1 某 银行 系统 网 络 安全 解决 方案 示意 图 


13.3.2. 某 市 政府 中 心 网 络 安全 方案 设计 


1， 某 市 政府 网 络 系统 现状 分 析 

《 某 市 电子 政务 工程 总 体 规划 方案 ) 主 要 建设 内 容 为 : 一 个 专 网 (政务 通信 专 网 ) ,一 个 
平台 (电子 政务 基础 平台 ) ,一 个 中 心 (安全 监控 和 备份 中 心 ) 。 

七 大 数据 库 ( 经 济 信息 数 据 库 、 法 人 单位 基础 信息 数据 库 、 自 然 资源 和 空间 地 理 信息 数 
据 库 、 人 口 基础 信息 库 、 社 会 信用 数据 库 、 海 洋 经 济 信息 数据 库 、 政 务 动态 信息 数据 库 ) ,十 二 
大 系统 (政府 办 公 业 务 资源 系统 、 经 济 管理 信息 系统 、 政 务 决策 服务 信息 系统 、 社 会 信用 信息 
系统 、 城 市 通 卡 信息 系统 、 多 媒体 增值 服务 信息 系统 、 综 合 地 理 信息 系统 、 海 洋 经 济 信 息 系 
统 、 金 农 信息 系统 、 金 水 信息 系统 、 金 盾 信 息 系统 、 社 会 保障 信息 系统 )。 主 要 包括 : 政务 通 
信 专 网 ,电子 政务 基础 平台 安全 监控 和 备份 中 心 政府 办 公 业 务 资源 系统 、 政 务 决策 服务 信 
息 系统 、 综 合 地 理 信息 系统 .多 媒体 增值 服务 信息 系统 。 

2， 某 市 政府 中 心 网 络 安全 方案 设计 

1) 安全 系统 建设 目标 

本 技术 方案 旨 在 为 某 市 政府 网 络 提供 全 面 的 网 络 系统 安全 解决 方案 ,包括 安全 管理 制 
度 策略 的 制定 .安全 策略 的 实施 体系 结构 的 设计 、 安 全 产品 的 选择 和 部 署 实施 ,以 及 长 期 的 
合作 和 技术 支持 服务 。 系 统 建设 目标 是 在 不 影响 当前 业务 的 前 提 下 ,实现 对 网 络 的 全 面 安 
全 管理 。 将 安全 策略 、 硬 件 及 软件 等 方法 结合 起 来 ,构成 一 个 统一 的 防御 系统 ,有 效 阻止 非 
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法 用 户 进入 网 络 ,减少 网 络 的 安全 风险 ;通过 部 署 不 同类 型 的 安全 产品 ,实现 对 不 同 层次 、 不 
同类 别 网 络 安全 问题 的 防护 ;使 网 络 管理 者 能 够 很 快 重新 组 织 被 破坏 了 的 文件 或 应 用 。 使 
系统 重新 恢复 到 破坏 前 的 状态 。 最 大 限度 地 减少 损失 。 具 体 来 说 ,本 安全 方案 能 够 实现 全 
面 网 络 访问 控制 ,并 能 够 对 重要 控制 点 进行 细 粒 度 的 访问 控制 ;并 且 , 对 于 通过 对 网 络 的 流 
量 进行 实时 监控 ,对 重要 服务 器 的 运行 状况 进行 全 面 监控 。 

2) 防火 墙 系统 设计 方案 

(1) 防火 墙 对 服务 器 的 安全 保护 

网 络 中 应 用 的 服务 器 ,信息 量 大 、 处 理 能 力 强 ,往往 是 攻击 的 主要 对 象 。 另 外 ,服务 器 提 
供 的 各 种 服务 本 身 有 可 能 成 为 “黑客 ”攻击 的 突破 口 ,因此 ,在 实施 方案 时 要 对 服务 器 的 安全 
进行 一 系列 安全 保护 。 如 果 服 务 器 没有 加 任何 安全 防护 措施 而 直接 放 在 公 网 上 提供 对 外 服 
务 ,就 会 面临 着 “黑客 "各 种 方式 的 攻击 ,安全 级 别 很 低 。 因 此 当 安 装 防火 墙 后 ,所 有 访问 服 
务 器 的 请 求 都 要 经 过 防火 墙 安全 规则 的 详细 检测 。 只 有 访问 服务 器 的 请 求 符 合 防火 墙 安全 
规则 后 ,才能 通过 防火 墙 到 达 内 部 服务 器 。 防 火 墙 本 身 抵御 了 绝 大 部 分 对 服务 器 的 攻击 ,外 
界 只 能 接触 到 防火 墙 上 的 特定 服务 ,从 而 防止 了 绝 大 部 分 外 界 攻 击 。 

(2) 防火 墙 对 内 部 非法 用 户 的 防范 

网 络 内 部 的 环境 比较 复杂 ,而 且 各 子 网 的 分 布地 域 广阔 ,网 络 用 户 、 设 备 接 入 的 可 控 性 
比较 差 , 因 此 ,内 部 网 络 用 户 的 可 靠 性 并 不 能 得 到 完全 的 保证 。 特 别 是 对 于 存放 敏感 数据 的 
主机 的 攻击 往往 发 自 内 部 用 户 ,如何 对 内 部 用 户 进行 访问 控制 和 安全 防范 就 显得 特别 重要 。 
为 了 保障 内 部 网 络 运 行 的 可 靠 性 和 安全 性 ,必须 要 对 它 进行 详尽 的 分 析 , 尽 可 能 防护 到 网 络 
的 每 一 节点 。 

对 于 一 般 的 网 络 应 用 ,内 部 用 户 可 以 直接 接触 到 网 络 内 部 几乎 所 有 的 服务 ,网 络 服务 器 
对 于 内 部 用 户 缺 乏 基本 的 安全 防范 ,特别 是 在 内 部 网 络 上 ,大 部 分 的 主机 没有 进行 基本 的 安 
全 防范 处 理 , 整 个 系统 的 安全 性 容易 受到 内 部 用 户 攻击 的 威胁 ,安全 等 级 不 高 。 根 据 国 际 上 
流行 的 处 理 方法 ,我 们 把 内 部 用 户 跨 网 段 的 访问 分 为 两 大 类 : 其 一 ,是 内 部 网 络 用 户 之 间 的 
访问 , 即 单机 到 单机 访问 。 这 一 层次 上 的 应 用 主要 有 用 户 共 享 文件 的 传输 (NETBIOS) 应 
用 ;其 次 ,是 内 部 网 络 用 户 对 内 部 服务 器 的 访问 ,这 一 类 应 用 主要 发 生 在 内 部 用 户 的 业务 
人 处理 时 。 一般 内 部 用 户 对 于 网 络 安全 防范 的 意识 不 高 .如 果 内 部 人 员 发 起 攻击 ,内 部 网 
络 主机 将 无 法 避免 地 遭 到 损害 ,特别 是 针对 于 NETBIOS 文件 共享 协议 ,已 经 有 很 多 的 漏 
洞 在 网 上 公开 报道 ,如 果 网 络 主机 保护 不 完善 ,就 可 能 被 内 部 用 户 利用 “黑客 ”工具 造成 
严重 破坏 。 

利用 防火 墙 技 术 , 经 过 仔细 的 配置 ,通常 能 够 在 内 外 网 之 间 提 供 安全 的 网 络 保护 ,降低 
了 网 络 安全 风险 ,但 是 入 侵 者 可 寻找 防火 墙 背后 可 能 敞开 的 后 门 , 入 侵 者 也 可 能 就 在 防火 
墙 内 。 

网 络 人 侵 检 测 系统 位 于 有 敏感 数据 需要 保护 的 网 络 上 ,通过 实时 侦 听 网 络 数据 流 , 寻 找 
网 络 违规 模式 和 未 授权 的 网 络 访问 尝试 。 当 发 现 网 络 违规 行为 和 未 授权 的 网 络 访问 时 ,网 
络 监控 系统 能 够 根据 系统 安全 策略 做 出 反应 :包括 实时 报警 .事件 登录 ,或 执行 用 户 自 定义 
的 安全 策略 等 。 网 络 监控 系统 可 以 部 署 在 网 络 中 有 安全 风险 的 地 方 , 如 局 域 网 出 人口 .重点 
保护 主机 、 远 程 接 入 服务 器 、 内 部 网 重点 工作 站 组 等 。 在 重点 保护 区 域 ,可 以 单独 各 部 署 一 
套 网 络 监控 系统 (管理 器 十 探测 引擎 ), 也 可 以 在 每 个 需要 保护 的 地 方 单独 部 署 一 个 探测 引 
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3E ,在 全 网 使 用 一 个 管理 器 ,这 种 方式 便于 进行 集中 管理 。 

在 内 部 应 用 网 络 中 的 重要 网 段 ,使 用 网 络 探测 引擎 ,监视 并 记录 该 网 段 上 的 所 有 操作 ， 
在 一 定 程度 上 防止 非法 操作 和 恶意 攻击 网 络 中 的 重要 服务 器 和 主机 。 同 时 ,网 络 监视 器 还 
可 以 形象 地 重 现 操作 的 过 程 , 可 帮助 安全 管理 员 发 现 网 络 安全 的 隐患 。 

需要 说 明 的 是 ,IDS 是 对 防火 墙 的 非常 有 必要 的 附加 而 不 仅仅 是 简单 的 补充 。 

3. 某 市 政府 安全 系统 技术 方案 

1) 防火 墙 安全 系统 技术 方案 

某 市 政府 局 域 网 是 应 用 的 中 心 , 存 在 大 量 敏感 数据 和 应 用 ,因此 必须 设计 一 个 高 安全 
性 、 高 可 靠 性 及 高 性 能 的 防火 墙 安 全 保护 系统 ,确保 数据 和 应 用 万 无 一 失 。 

所 有 的 局 域 网 计算 机 工作 站 包括 终端 广域网 路 由 器 、 服 务 器 群 都 直接 汇 接 到 主干 交换 
机 上 。 由 于 工作 站 分 布 较 广 且 全 部 连接 ,对 中 心 的 服务 器 及 应 用 构成 了 极 大 的 威胁 ,尤其 是 
可 能 通过 广域网 上 的 工作 站 直接 攻击 服务 器 。 因 此 ,必须 将 中 心 与 广域网 进行 隔离 防护 。 
考虑 到 效率 ,数据 主要 在 主干 交换 机 上 流通 ,通过 防火 墙 流 入 流出 的 流量 不 会 超过 百 兆 , 因 
此 使 用 百 兆 防 火 墙 就 完全 可 以 满足 要 求 。 

在 中 心机 房 的 DMZ 服务 区 上 安装 两 台 互 为 元 余 备 份 的 海信 FW3010PF-4000 Fi JE D; 
火 墙 ,DMZ 口 通过 交换 机 与 WWW/FTP, DNS/MAIL 服务 器 连接 。 同 时 ,安装 一 台 
FW3010PF-5000 千 兆 防火 墙 , 将 安全 与 备份 中 心 与 其 他 区 域 迎 辑 隔离 开 来 。 

通过 安装 防火 墙 ,实现 下 列 的 安全 目标 : 

。 利用 防火 墙 将 内 部 网 络 Internet 外 部 网 络 .DMZ 服务 区 .安全 监控 与 备份 中 心 进行 

有 效 隔 离 ,避免 与 外 部 网 络 直接 通信 。 

。 利用 防火 墙 建立 网 络 各 终端 和 服务 器 的 安全 保护 措施 ,保证 系统 安全 。 

。 利用 防火 墙 对 来 自 外 网 的 服务 请 求 进行 控制 ,使 非法 访问 在 到 达 主 机 前 被 拒绝 。 

。 利用 防火 墙 使 用 IP 与 MAC 地 址 绑 定 功能 ,加 强 终端 用 户 的 访问 认证 ,同时 在 不 影 

响 用 户 正常 访问 的 基础 上 将 用 户 的 访问 权限 控制 在 最 低 限 度 内 。 

。 利用 防火 墙 全 面 监视 对 服务 器 的 访问 ,及 时 发 现 和 阻止 非法 操作 。 

。 利用 防火 墙 及 服务 器 上 的 审计 记录 ,形成 一 个 完善 的 审计 体系 ,建立 第 二 条 防线 。 

。 根据 需要 设置 流量 控制 规则 ,实现 网 络 流量 控制 ,并 设置 基于 时 间 段 的 访问 控制 。 

2) 入 侵 检测 系统 技术 方案 

在 局 域 网 中 心 交 换 机 安装 一 台海 信 眼 镜 蛇 入 侵 检 测 系统 千 兆 探测 器 ,DMZ 区 交换 机 上 
安装 一 台海 信 眼 镜 蛇 入 侵 检 测 系统 百 兆 探测 器 ,用 以 实时 检测 局 域 网 用 户 和 外 网 用 户 对 主 
机 的 访问 ,在 安全 监控 与 备份 中 心安 装 一 台海 信 眼 镜 蛇 和 人 侵 检 测 系统 百 兆 探测 器 和 海信 眼 
镜 蛇 和 人 侵 检 测 系统 控制 台 ,由 系统 控制 台 进 行 统一 的 管理 (统一 事件 库 升 级 、 统 一 安全 防护 
策略 .统一 上 报 日 志 生 成 报表 ) 。 

其 中 ,海信 眼镜 蛇 网 络 人 侵 检 测 系统 还 可 以 与 海信 FW3010PF 防火 墙 进行 联动 ,一 旦 
发 现 由 外 部 发 起 的 攻击 行为 ,将 向 防火 墙 发 送 通知 报 文 ,由 防火 墙 来 阻 断 连接 ,实现 动态 的 
安全 防护 体系 。 海 信和 眼镜 蛇 入 侵 检 测 系统 可 以 联动 的 防火 墙 有 : 海信 FW3010PF 防火 墙 ， 
支持 OPSEC 协议 的 防火 墙 。 

通过 使 用 入 侵 检测 系统 ,可 以 做 到 : 

。 对 网 络 边界 点 的 数据 进行 检测 ,防止 黑客 的 入 侵 ; 
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* 对 服务 器 的 数据 流量 进行 检测 ,防止 入 侵 者 的 蓄意 破坏 和 算 改 ; 

* 监视 内 部 用 户 和 系统 的 运行 状况 ,查找 非法 用 户 和 合法 用 户 的 越权 操作 ; 

* 对 用 户 的 非 正 常 活动 进行 统计 分 析 ,发 现 人 侵 行为 的 规律 ; 

* 实时 对 检测 到 的 入 侵 行 为 进行 报警 . 阻 断 ,能 够 与 防火 墙 /系统 联动 ; 

。 对 关键 正常 事件 及 异常 行为 记录 日 志 , 进 行 审计 跟踪 管理 。 

通过 使 用 海信 眼镜蛇 入 侵 检测 系统 可 以 容易 的 完成 对 以 下 的 攻击 识别 : 网 络 信息 收 
集 、 网 络 服务 缺陷 攻击 、DoS 和 DDoS 攻击 \ 缓 冲 区 洲 出 攻击 、Web 攻击 、 后 门 攻击 等 。 

网 络 给 某 市 政府 带 来 巨大 便利 的 同时 ,也 带 来 了 许多 挑战 ,其 中 安全 问题 尤为 突出 。 加 
上 一 些 人 缺乏 安全 控制 机 制 和 对 网 络 安全 政策 及 防护 意识 的 认识 不 足 , 这 些 风险 会 日 益 加 
重 。 引 起 这 些 风险 的 原因 有 多 种 .其 中 网 络 系统 结构 和 系统 的 应 用 等 因素 尤为 重要 。 主 要 
涉及 物理 安全 、 链 路 安全 、 网 络 安全 、 系 统 安全 、 应 用 安全 及 管理 安全 等 方面 。 通 过 以 上 方案 
的 设计 和 实施 ,所 有 安全 隐患 就 得 到 了 良好 的 改善 。 


13.3.3 某 电 力 公司 网 络 安全 解决 方案 


1. 概述 

随 着 信息 化 的 日 益 深刻 ,信息 网 络 技 术 的 应 用 日 益 普 及 ,网 络 安全 问题 已 经 会 成 为 影响 
网 络 效 能 的 重要 问题 。 而 Internet 所 具有 的 开放 性 、 国 际 性 和 自由 性 在 增加 应 用 自由 度 的 
同时 ,对 安全 提出 了 更 高 的 要 求 。 

电力 系统 信息 安全 问题 已 威胁 到 电力 系统 的 安全 稳定、 经 济 、 优 质 运行 ,影响 着 “数字 
电力 系统 ”的 实现 进程 。 研 究 电力 系统 信息 安全 问题 .开发 相应 的 应 用 系统 .制定 电力 系统 
信息 遭受 外 部 攻击 时 的 防范 与 系统 恢复 措施 等 信息 安全 战略 是 当前 信息 化 工作 的 重要 内 
容 。 电 力 系统 信息 安全 已 经 成 为 电力 企业 生产 ,经 营 和 管理 的 重要 组 成 部 分 。 

如 何 使 电力 信息 网 络 系统 不 受 黑 客 和 病毒 的 人 侵 ,如 何 保障 数据 传输 的 安全 性 、 可 靠 
性 ,也 是 建设 “数字 电力 系统 "过程 中 所 必须 考虑 的 重要 事情 之 一 。 

2. 省 级 电力 系统 网 络 应 用 和 现状 

省 级 电力 网 络 系统 是 一 般 是 一 个 覆盖 全 省 的 大 型 广域网 络 , 其 基本 功能 包括 FTP, 
Telnet, E-mail 及 WWW、BBS 等 C/S 方 式 的 服务 。 省 电力 公司 信息 网 络 系统 是 业务 数据 交 
换 和 处 理 的 信息 平台 ,在 网 络 中 包含 有 各 种 各 样 的 设备 : 服务 器 系统 .路 由 器 .交换机 、 工 作 
站 ,终端 等 ,并 通过 专线 与 Internet 相连 。 各 地 市 电力 公司 /电厂 的 网 络 基本 采用 TCP/IP 
以 太 网 星 型 拓扑 结构 ,而 它们 的 外 联 出 口 通常 为 上 一 级 电力 公司 网 络 。 

随 着 业务 的 发 展 , 省 电力 网 络 系统 原 有 的 基于 内 部 网 络 的 相对 安全 将 被 打破 ,无 法 满足 
业务 发 展 的 安全 需求 ,急需 重新 制定 安全 策略 ,建立 完整 的 安全 保障 体系 。 

我 们 知道 现 阶段 省 电力 信息 网 络 系统 存在 安全 隐患 。 所 以 我 们 从 系统 层次 、 网 络 层次 、 
管理 层次 ,应 用 层次 四 个 角度 结合 省 电力 网 络 应 用 系统 的 实际 情况 提出 以 下 安全 风险 分 析 。 

3. 安全 风险 分 析 

1) 网 络 边 界 风 险 分 析 

网 络 的 边界 是 指 两 个 不 同安 全 级 别 的 网 络 的 接 和 人 处 ,包括 同 Internet 的 接 人 处 ,以 及 内 
部 网 不 同安 全 级 别 的 子 网 之 间 的 连接 处 。 

对 于 省 电力 信息 系统 网 络 边界 主要 存在 于 Internet 接 入 等 外 部 网 络 的 连接 处 ,以 及 内 
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部 网 络 中 省 与 地 市 网 络 之 间 也 存在 不 同安 全 级 别 子 网 的 安全 边界 。 

开放 的 网 络 容易 受到 来 自 外 网 的 各 种 攻击 和 威胁 。 入 侵 者 可 以 利用 各 种 工具 扫描 网 络 
及 系统 中 存在 的 安全 漏洞 ,并 通过 一 些 攻击 程序 对 网 络 进行 恶意 攻击 ,这 样 的 危害 可 以 造成 
网 络 的 瘫痪 ,系统 的 拒绝 服务 ,信息 的 被 窃取 、 自 改 等 。 

省 电力 信息 系统 局 域 网 边界 处 中 利用 防火 墙 系统 进行 防护 ,降低 了 网 络 安全 风险 。 但 
是 ,仅仅 使 用 防火 墙 、 网 络 安全 还 远 远 不 够 ,防火 墙 是 属于 传统 的 静态 安全 防护 技术 , 它 在 功 
能 和 作用 范围 方面 存在 不 足 , 例 如 ,内 部 用 户 攻击 。 而 人 侵 检测 技术 是 当今 一 种 非常 重要 的 
动态 安全 技术 , 它 可 以 很 好 的 弥补 防火 墙 安全 防护 的 不 足 。 

2) 系统 层 安 全 分 析 

(1) 主机 系统 风险 分 析 

省 电力 网 络 中 存在 大 量 不 同 操作 系统 的 主机 如 UNIX、Windows 2000 Server。 这 些 操 
作 系 统 自身 也 存在 许多 安全 漏洞 。 

(2) 病毒 人 侵 风险 分 析 

病毒 具有 非常 强 的 破坏 力 和 传播 能 力 。 越 是 网 络 应 用 水 平 高 ,共享 资源 访问 频繁 的 环 
境 中 ,计算 机 病毒 的 蔓延 速度 就 会 越 快 。 

3) 应 用 层 安 全 分 析 

应 用 层 安 全 是 指 用 户 在 网 络 上 的 应 用 系统 的 安全 ,包括 Web, FTP, HEER IE, DNS 等 
网 络 基 本 服务 系统 、 业 务 系统 等 。 各 应 用 包括 对 外 部 和 内 部 的 信息 共享 以 及 各 种 跨 局 域 网 
的 应 用 方式 ,其 安全 需求 是 在 信息 共享 的 同时 ,保证 信息 资源 的 合法 访问 及 通信 隐秘 性 。 

4) 管理 层 安全 分 析 

在 网 络 安全 中 安全 策略 和 管理 扮演 着 极其 重要 的 角色 ,如 果 没 有 制定 非常 有 效 的 安全 
策略 ,没有 进行 严格 的 安全 管理 制度 来 控制 整个 网 络 的 运行 ,这 个 网 络 就 很 可 能 处 于 一 种 混 
乱 的 状态 。 

4. 安全 需求 分 析 

通过 以 上 对 省 电力 系统 网 络 现状 与 安全 风险 分 析 , 种 种 风险 一 旦 发 生 将 对 系统 造成 很 
大 损失 。 必 须 将 风险 防 患 于 未 然 。 在 此 ,提出 防范 网 络 安全 危险 的 安全 需求 : 
需要 划分 安全 域 , 将 省 电力 划分 不 同 的 安全 域 . 各 域 之 间 通 过 部 署 防火 墙 系 统 实现 
相互 隔离 及 其 访问 控制 。 
需要 在 各 市 局 本 地 局 域 网 与 省 网 的 边界 处 部 署 防火 墙 实现 访问 控制 。 
需要 在 市 局 本 地 局 域 网 与 省 网 的 边界 处 部 署 人 侵 检测 探测 器 ,实现 对 潜在 安全 攻击 
的 实时 检测 。 
需要 在 网 中 部 署 全 方位 的 网 络 防 病毒 系统 ,针对 所 有 服务 器 和 客户 机 建立 病毒 防范 
体系 。 
需要 在 网 中 部 署 漏洞 扫描 系统 ,及 时 发 现 网 络 中 存在 的 安全 隐患 并 提出 解决 建议 和 
方法 。 
。 需要 建立 统一 的 安全 管理 中 心 . 通 过 安全 管理 中 心 使 所 有 的 安全 产品 和 安全 策略 可 
以 集中 部 署 ,集中 分 发 。 
需要 制定 省 电力 网 络 安全 策略 ,安全 策略 是 建立 安全 保障 体系 的 基石 。 
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5. 安全 系统 策略 模型 

信息 安全 系统 策略 模型 有 三 个 要 素 : 组 织 ,管理 和 技术 。 

(D 安全 管理 策略 :包括 各 种 策略 .法律 法 规 、 规 章 制 度 . 技 术 标 准 、 管 理 标 准 等 ,是 信息 
安全 的 最 核心 问题 ,是 整个 信息 安全 建设 的 依据 ; 

O 安全 组 织 策略 :主要 是 人 员 组织 和 流程 的 管理 ,是 实现 信息 安全 的 落实 手段 ; 

O 安全 技术 策略 :包含 工具 、 产 品 和 服务 等 ,是 实现 信息 安全 的 有 力 保证 。 

安全 策略 模型 将 信息 安全 工作 中 的 “管理 中 心 ”的 特性 突出 地 描述 出 来 。 根 据 模型 的 指 
导 ,为 省 地 税 税务 提供 的 信息 安全 完全 解决 方案 不 仅仅 包含 各 种 安全 产品 和 技术 ,更 重要 的 
就 是 要 建立 一 个 一 致 的 信息 安全 体系 ,也 就 是 建立 安全 组 织 策略 体系 、 安 全 管理 策略 体系 和 
安全 技术 策略 体系 。 

6. 总 体 安全 策略 

省 电力 网 络 安全 系统 体系 应 该 按照 三 层 结构 建立 。 第 一 层 首先 是 要 建立 安全 标准 框 
架 ,包括 安全 组 织 和 人 员 、 安 全 技术 规范 、 安 全 管理 办 法 .应急 响应 制度 等 。 第 二 层 是 考虑 省 
电力 IT 基础 架构 的 安全 。 包 括 网 络 系统 安全 、 物 理 链 路 安全 等 。 第 三 层 是 省 电力 整个 IT 
业务 流程 的 安全 。 如 各 OA 应 用 系统 安全 。 

7. 总 体 安 全 解决 方案 

通过 对 省 电力 信息 网 络 的 风险 和 需求 分 析 ,按照 安全 策略 的 要 求 ,整个 网 络 安全 措施 应 
按 系 统 体系 建立 ,并 且 系 统 的 总 体 设计 将 从 各 个 层次 对 安全 了 予以 考虑 ,并 在 此 基础 上 制定 详 
细 的 安全 解决 方案 ,建立 完整 的 行政 制度 和 组 织 人 员 安 全 保障 措施 。 整 个 安全 解决 方案 包 
括 防 火 墙 子 系统 、 入 侵 检 测 子 系统 、 病 毒 防范 子 系统 、 安 全 评估 子 系统 、 安 全 管理 中 心 子 
系统 。 

根据 安全 架构 模型 ,省 级 电力 网 络 系统 的 安全 保障 体系 还 需要 通过 安全 服务 来 动态 调 
整 网 络 系统 安全 基准 。 

网 络 安全 是 动态 的 .整体 的 ,并 不 是 简单 的 安全 产品 集成 就 解决 问题 。 安 全 不 是 一 劳 永 
逸 的 ,安全 总 会 随 着 用 户 网 络 现 况 的 变化 而 变化 。 随 着 时 间 推 移 ,新 的 安全 风险 又 将 随 着 产 
生 。 因 此 ,一 个 完整 的 全 解决 方案 还 必须 包括 长 期 的 ,与 项 目 相关 的 信息 安全 服务 。 安 全 服 
务 主要 包括 安全 策略 制定 .安全 评估 、 安 全 增强 .安全 应 急 响应 .安全 培训 。 


1. 网 络 安全 解决 方案 的 四 个 层次 是 什么 ? 
2. 试 为 你 所 在 学 校 设计 网 络 安全 解决 方案 。 


附录 A 英文 缩 略 词汇 


ACL(Access Control List ,访问 控制 列表 ) 

AES( Advanced Encryption Standard ,高 级 加 密 标 准 ) 

AHcCAuthentication Header, 认 证 头 ) 

ARP( Address Resolution Protocol, 地 址 解析 协议 ) 

ATM( Asynchronous Transfer Mode. 异 步 传输 模式 ) 

BSD(Berkeley Software Distribution ,伯克利 软件 套件 ) 

BITS(Background Intelligent Transfer Service, 后 台 智能 传送 服务 ) 

CA (Certificate Authority, 认 证 中 心 ) 

CCMP(Counter mode with Cipher-block chaining Message Authentication code Protocol. 
计数 器 模式 密码 块 链 消息 完整 码 协议 

CIDF (Common Intrusion Detection Framework ,通用 入 侵 检 测 框架 ) 

CPU (Central Processing Unit, 中 央 处 理 器 ) 

DDN (Digital Data Network ,数字 数据 网 ) 

DDoS(Distributed Denial of Service ,分 布 式 拒绝 服务 攻击 ) 

DE(Digital Envelope, 数 字 信 封 ) 

DES (Data Encryption Standard, 数 据 加 密 标准 ) 

DHCDiffie-Hellman,DH 算法 ) 

DHCP(Dynamic Host Configuration Protocol, 动 态 主 机 设置 协议 ) 

DIDS(Distributed Intrusion Detection System. 分布 式 人 侵 检 测 系统 ) 

DiffServe(Differentiated Services Architecture ,分 级 服务 体系 结构 ) 

DNS(Domain Name System ,域名 系统 ) 

DoS(Denial of Service, 拒 绝 服务 攻击 ) 

EAM(Enterprise Asset Management ,企业 设备 管理 系统 ) 

EAP(Extensible Authentication Protocol, 可 扩展 的 认证 头 协议 ) 

EDI (Electronic Data Interchange, 电 子 数 据 交 换 ) 

EES (Escrowed Encryption Standard. 托管 加 密 标准 ) 

EFF(Electronic Frontier Foundation ,电子 前 沿 基金 会 ) 

ESP(Encapsulating Security Payload ,封装 安全 有 效 负载 ) 

FTP(File Transfer Protocol ,文件 传输 协议 ) 

GRE(Generic Routing Encapsulation ,路 由 封装 协议 ) 

HIDS(Host-based Intrusion Detection System ,基于 主机 的 人 侵 检 测 系 统 ) 

HTTP(HyperText Transfer Protocol, 超 文本 传输 协议 ) 

IC(Integrity Check, SE% PEREIS) 

ICMP(Internet Control and Message Protocol. TCP/IP 协议 族 网 络 层 协议 ) 
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ICV(Integrity Check Value, 完 整 性 校 验 值 ) 

ID(Intrusion Detection ,入 侵 检 测 ) 

IDEA(International Data Encryption Algorithm, 国 际 数据 加 密 算法 ) 

IDXP(Intrusion Detection Exchange Protocol, 和信 侵 检测 交换 协议 ) 

IDS(Intrusion Detection Systems, 人 侵 检 测 系 统 ) 

IETF(Internet Engineering Task Force, 互 联网 工作 组 ) 

IKE(Internet Key Exchange, Internet 密 钥 交换 协议 ) 

IISCInternet Information Services. 互联 网 信息 服务 ) 

IPCInternet Protocol. 网 络 之 间 互 连 的 协议 ) 

ISAKMP (Internet Security Association and Key Management Protocol, Internet 安全 关联 
密 钥 管理 协议 ) 

ISO(International Standard Organized, 国 际 标准 化 组 织 ) 

IV(Initial Vector, 初 始 化 向 量 ) 

KMC(Key Manage Center, 密 钥 管理 中 心 ) 

LAN(Local Area Network. ,局 域 网 ) 

MAC (Message Authentication Code ,消息 鉴别 码 ) 

MD5(Message Digest Algorithm. 消息 摘要 算法 第 五 版 ) 

NBS( National Bureau of Standards ,美国 国家 标准 局 ) 

NFS( Network File System ,网 络 文件 系统 ) 

NIDSCNetwork-based Intrusion Detection System, 基 于 网 络 的 入 侵 检 测 系统 ) 

NIST(National Institute of Standards and Technology, 美 国 国家 标准 与 技术 研究 所 ) 

NOS(Network Operating System 网 络 操作 系统 ) 

NSA(National Security Agency, 美 国 国家 安全 局 ) 

OSICOpen System Interconnect ,开放 系 统 互 联 ) 

P2DR(Policy、Protection ,Detection 、Response ,动态 网 络 安全 体系 的 代表 模型 ) 

PARAD(Parameter And ReturnAddress Detection ,一 种 检测 方法 ) 

PGP(Pretty Good Privacy, 端 到 端的 安全 邮件 标准 ) 

PKI(Public Key Infrastructure, 公 钥 基 础 设施 ) 

PPPOE (Point to Point Protocol Over Ethernet, 以 太 网 上 的 点 到 点 连接 协议 ) 

PPTP(Point-to-Point Tunneling Protocol , 端 到 端 隧道 协议 ) 

PSK(Pre-Shared Key, 预 共享 密 钥 ) 

QoS(Quality of Service, 服 务 质量 ) 

RFC(Request For Comments, 一 系列 以 编号 排 定 的 文件 ) 

RSVP(Resource Reservation Protocol, 资 源 预 约 协 议 ) 

SA (Security Associations, 安 全 联盟 ) 

SCP( Service Control Point ,业务 控制 点 ) 

SET(Secure Electronic Transaction ,安全 电子 交易 协议 ) 

SHA(Secure Hash Standard ,安全 杂乱 信息 标准 ) 

SMTP(Simple Mail Transfer Protocol ,简单 邮 件 传输 协议 
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SNMP(Simple Network Management Protocol, 简 单 网 络 管理 协议 ) 

SPI(Security Parameters Index, 安 全 参数 索引 ) 

SP (Security Policy, 安 全 策略 ) 

SPD (Security Policy Database, 安 全 策略 数据 库 ) 

SPX(Sequenced Packet Exchange Protocol ,序列 分 组 交换 协议 ) 

SSID( Service Set Identifier) IRE 8 B pj i f 

SSH (Secure Shell ,安全 外 壳 协 议 ) 

SSL(Secure Socket Layer, 安 全 套 接 层 协议 ) 

TCP/IP( Transmission Control Protocol/Internet Protocol ,传输 控制 协议 /因特网 互联 协议 ) 
TCSEC( Trusted Computer Standards Evaluation Criteria, 可 信任 计算 机 标准 评价 准则 ) 
TKIP(Temporal Key Integrity Protocol, 实 时 密 钥 完整 性 协议 ) 

TLS(Transport Layer Security ,传输 层 安 全 协议 ) 

UDP(User Datagram Protocol, 用 户 数 据 报 协议 ) 

UPNP( Universal Plug and Play ,通用 即 插 即 用 ) 

URL(Uniform Resource Locator, 统 一 资源 定位 符 ) 

VPN( Virtual Private Network ,虚拟 专用 网 ) 

WAN(Wide Area Network ,广域网 ) 

WEP(Wired Equivalent Privacy, 有 线 等 效 保密 技术 ) 

WWW(World Wide Web ,万 维 网 ) 
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